ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > DevOps vs DevSecOps: sida ay ugu ekayd hal bangi

DevOps vs DevSecOps: sida ay ugu ekayd hal bangi

DevOps vs DevSecOps: sida ay ugu ekayd hal bangi

Bangigu waxa uu mashaariicdiisa ka bixiya qandaraaslayaal badan. "Dibadda" qor koodka, ka dibna u gudbi natiijooyinka qaab aan ku habboonayn. Gaar ahaan, nidaamku wuxuu u ekaa sidan: waxay ku wareejiyeen mashruuc iyaga ku soo maray imtixaano shaqeynaya, ka dibna waxaa lagu tijaabiyay gudaha wareegga bangiyada ee isdhexgalka, culeyska, iyo wixii la mid ah. Inta badan waxaa la ogaaday in imtixaanada ay fashilmeen. Kadib wax walba waxay ku noqdeen horumariyaha dibadda. Sida aad qiyaasi karto, tani waxay ka dhigan tahay waqtiyo hogaamin dheer oo loogu talagalay hagaajinta cayayaanka.

Bangigu wuxuu go'aansaday in ay suurtagal tahay oo lagama maarmaan tahay in la jiido dhammaan dhuunta hoosteeda, laga bilaabo ballan-qaadyada ilaa la sii daayo. Si wax waliba u noqdaan lebis oo ay gacanta ku hayaan kooxaha ka mas'uulka ah badeecada bangiga. Taasi waa, sidii haddii qandaraaslaha dibadda uu si fudud uga shaqeynayey meel qolka xiga ee xafiiska. Dusha sare ee shirkadda Tani waa gogol caadi ah.

Xaggee Sec ka timid? Ammaanka bangigu waxa uu saaray shuruudo badan oo ku saabsan sida qandaraasle dibadda ahi uga shaqayn karo qaybta shabakadda, waxa qof leeyahay, sida iyo cidda ku shaqaysa koodka. Kaliya waa in IB uusan wali ogeyn in marka qandaraaslayaashu ay ka shaqeeyaan dibadda, dhowr heerar bangi ayaa la raacay. Ka dibna laba maalmood gudahood qof kastaa wuxuu u baahan yahay inuu bilaabo indha-indhayntooda.

Muujinta fudud ee qandaraasluhu uu si buuxda u helay koodhka alaabta ayaa mar hore u rogay adduunkooda.

Waqtigan xaadirka ah, sheekada DevSecOps ayaa bilaabatay, taas oo aan rabo inaan kuu sheego.

Waa maxay gunaanad wax ku ool ah oo bangigu ka soo qaatay xaaladdan?

Waxaa jiray muran badan oo ku saabsan in wax walba loo sameeyo si khaldan. Horumariyayaashu waxay yiraahdeen ammaanku wuxuu ku mashquulsan yahay oo kaliya inuu isku dayo inuu farageliyo horumarka, waxayna, sida waardiyayaasha, isku dayaan inay mamnuucaan iyagoon ka fikirin. Dhanka kale, khabiirada amniga ayaa ka labalabeeyay in ay kala doortaan labada dhinac ee aragtida: " horumariyayaashu waxay abuuraan nuglaanta wareeggayaga" iyo " horumariyayaashu ma abuuraan dayacan, laakiin waa iyaga laftooda." Khilaafku wuxuu sii socon lahaa muddo dheer haddaysan ahayn dalabaadka suuqa cusub iyo soo bixitaanka jaantuska DevSecOps. Waxaa suurtagal ah in la sharaxo in habkan iswada ee habka loo tixgaliyo shuruudaha amniga macluumaadka "ka baxsan sanduuqa" ay ka caawin doonto qof walba inuu faraxsanaado. Marka la eego in xeerarka isla markiiba la qoro oo aan isbeddelin inta lagu jiro ciyaarta (ammaanka macluumaadka ma mamnuuci doono wax lama filaan ah), horumariyayaashu waxay ku hayaan amniga macluumaadka wax kasta oo dhaca (ammaanka macluumaadka si lama filaan ah ulama kulmaan). . Koox kastaa waxay sidoo kale mas'uul ka tahay badbaadada kama dambaysta ah, ee maaha qaar ka mid ah walaalaha ka weyn.

  1. Maaddaama shaqaalaha dibadda ay horey u heleen koodhka iyo dhowr nidaam oo gudaha ah, waxaa suurtogal ah in laga saaro dukumentiyada shuruudaha "horumarintu waa in lagu sameeyaa gebi ahaanba kaabayaasha bangiga."
  2. Dhanka kale, waxaan u baahanahay inaan xoojino xakameynta waxa dhacaya.
  3. Tanaasulku wuxuu ahaa abuurista kooxo isdhaafsan, halkaas oo shaqaaluhu si dhow ula shaqeeyaan dadka dibadda ah. Xaaladdan oo kale, waxaad u baahan tahay inaad hubiso in kooxdu ay ku shaqeyso qalabyada server-yada bangiga. Bilaw ilaa dhamaad.

Taasi waa, qandaraaslayaasha waa loo ogolaan karaa, laakiin waxay u baahan yihiin in la siiyo qaybo gaar ah. Si aysan u keenin nooc ka mid ah caabuqa dibadda ee kaabayaasha bangiga iyo si aysan u arkin wax ka badan waxa lagama maarmaanka ah. Hagaag, si falalkooda loo diiwaan galiyo. DLP si ay uga hortagto daadinta, waxaas oo dhan ayaa lagu soo daray.

Mabda 'ahaan, dhammaan bangiyada ayaa tan u yimaada si dhakhso ah ama hadhow. Halkan waxaan ku dhaadhacnay wadadii la garaacay oo aan ku heshiinnay shuruudaha deegaannadaas oo "dibadda" ay ka shaqeeyaan. Waxaa soo muuqday agabka xakamaynta gelitaanka ugu badnaan, qalabka hubinta nuglaanta, falanqaynta ka hortagga fayraska ee wareegyada, shirarka iyo imtixaanada. Tan waxaa loo yaqaan DevSecOps.

Isla markiiba waxay caddaatay in haddii ka hor DevSecOps ammaanka bangiyada aysan xakameynin waxa ka dhacaya dhinaca horumariyaha, ka dibna amniga cusub ee amniga ayaa loo xakameynayaa si la mid ah dhacdooyinka caadiga ah ee kaabayaasha. Kaliya hadda waxaa jira digniino ku saabsan shirarka, xakameynta maktabadaha, iyo wixii la mid ah.

Waxa hadhay oo dhan waa in lagu wareejiyo kooxaha qaabka cusub. Waa hagaag, abuur kaabayaasha. Laakiin kuwani waa wax yar, waxay la mid tahay sawirka guumaystaha. Dhab ahaantii, waxaan ka caawinay kaabayaasha, iyo wakhtigaas hababka horumarinta ayaa isbedelay.

Maxaa is bedelay

Waxaan go'aansanay inaan ku hirgelino tillaabooyin yar yar, sababtoo ah waxaan fahamsanahay in habab badan ay burburi doonaan, iyo "dibadda" badan ayaa laga yaabaa inaysan u adkeysan karin xaaladaha cusub ee shaqada ee hoos yimaada kormeerka qof kasta.

Marka hore, waxaan abuurnay kooxo isdhaafsan oo aan baranay sida loo abaabulo mashaariicda anagoo tixgelinayna shuruudaha cusub. Macnaha urur ahaan waxaanu ka wada hadalnay waxa loo maro. Natiijadu waxay ahayd jaantuska dhuumaha shirarka ee dhammaan kuwa mas'uulka ka ah.

  • IC: Git, Jenkins, Maven, Roslyn, Gradle, jUnit, Jira, MF Forify, CA Harvest, GitlabCI.
  • CD: Macquul ah, Puppet, TeamCity, Gitlab TFS, Liquidbase.
  • imtixaanka: Sonarqube, SoapUI, jMeter, Selenium: MF Forify, Xarunta Waxqabadka, MF UFT, Atacama.
  • Soo bandhigid (warbixinta, isgaarsiinta): Grafana, Kibana, Jira, Confluence, RocketChat.
  • Hawlgallada (dayactirka, maamulka): macquul, Zabbix, Prometheus, Elastic + Logstash, Maareeyaha Adeegga MF, Jira, Confluence, MS Project.

xidhmo la doortay:

  • Saldhig Aqoon - Isku-dhafka Atlassian;
  • Tracker Task - Atlassian Jira;
  • Kaydka artifact - "Nexus";
  • Nidaamka isdhexgalka joogtada ah - "Gitlab CI";
  • Nidaamka falanqaynta joogtada ah - "SonarQube";
  • Nidaamka falanqaynta amniga codsiga - "Micro Focus Forify";
  • Nidaamka isgaarsiinta - "GitLab Mattermost";
  • Nidaamka maaraynta qaabeynta - "Awood";
  • Nidaamka la socodka - "ELK", "TICK Stack" ("InfluxData").

Waxay bilaabeen inay abuuraan koox diyaar u ah inay qandaraaslayaasha gudaha u soo jiidaan. Waxaa lagama maarmaan ah in la ogaado in ay jiraan dhowr waxyaalood oo muhiim ah:

  • Wax walba waa in la mideeyaa, ugu yaraan marka la gudbinayo koodka. Sababtoo ah waxaa jiray qandaraasleyaal badan sida ay jireen habab horumarineed oo badan oo kala duwan oo leh waxyaalahooda gaarka ah. Waxay ahayd lagama maarmaan in qof walba lagu daro ku dhawaad ​​hal, laakiin leh xulashooyin.
  • Waxaa jira qandaraaslayaal badan, abuurista gacanta ee kaabayaasha maaha mid ku habboon. Hawl kasta oo cusub waa in ay si degdeg ah u bilaabataa - taasi waa, tusaale ahaan waa in la hawlgeliyaa ku dhawaad ​​isla markiiba si ay horumariyayaashu u helaan xalal ay ku maareeyaan dhuumahooda.

Si loo qaado talaabada ugu horeysa, waxay ahayd lagama maarmaan in la fahmo waxa la samaynayo. Oo waxay ahayd inaan go'aan ka gaarno sidii aan halkaas ku gaari lahayn. Waxaan ku bilownay inaan gacan ka geysanno sawiridda qaab-dhismeedka xalka la beegsanayo labadaba xagga kaabayaasha iyo CI/CD automation. Ka dib waxaan bilownay uruurinta gaadiidkan. Waxaan u baahanahay hal kaabayaal, oo isku mid ah qof walba, halkaas oo maraakiibta isku midka ah ay socon doonaan. Waxaan bixinay ikhtiyaaro leh xisaabin, bangigu wuxuu u maleeyay, ka dibna go'aansanay waxa la dhisi doono iyo lacagta.

Marka xigta waa abuurista wareegga - rakibidda software, qaabeynta. Horumarinta qoraallada loogu talagalay dejinta iyo maareynta kaabayaasha. Waxa ku xiga u gudbida taageerada gaadiidka.

Waxaan go'aansanay inaan wax walba ku tijaabinno duuliyaha. Waxa xiiso leh, intii lagu jiray duulista, xidhmo gaar ah ayaa ka soo muuqday bangiga markii ugu horeysay. Waxyaabaha kale, iibiye gudaha ah oo ka mid ah xalalka ayaa loo soo bandhigay baaxadda duuliyaha si degdeg ah loo bilaabo. Nabadgelyadu waxay barteen markii uu duuliyaha waday, waxayna ku reebtay raad lama ilaawaan ah. Markii aan go'aansanay inaan bedelno, nasiib wanaag, lakabka kaabayaasha waxaa lagu bedelay xal Nutanix, kaas oo horey ugu jiray bangiga ka hor. Waxaa intaa dheer, ka hor waxay ahayd VDI, laakiin waxaan dib ugu isticmaalnay adeegyada kaabayaasha. Xajmiyada yaryar kuma haboona dhaqaalaha, laakiin tiro badan waxay noqotay jawi aad u fiican oo loogu talagalay horumarinta iyo tijaabinta.

Inta soo hadhay ee xidhmada waa in ka badan ama ka yar qof walba yaqaan. Qalabka Automation-ka ee Aansible ayaa la isticmaalay, waxaana si dhow ula shaqeeyay khubarada amniga. Xidhmada Atlassin waxa isticmaalay bangigu mashruuca ka hor. Qalabka amniga ee Fortinet - waxaa soo jeediyay dadka amniga laftooda. Qaabka imtixaanka waxaa sameeyay bangiga, wax su'aalo ah lama weydiin. Nidaamka kaydka ayaa keenay su'aalo; Waxay ahayd inaan la qabsado.

Qandaraaslayaasha waxaa la siiyay xirmo cusub. Waxay na siiyeen waqti aan dib ugu qorno GitlabCI, iyo inaan Jira u haajiro qaybta bangiyada, iyo wixii la mid ah.

Talaabo talaabo

Marxaladda 1. Marka hore, waxaan isticmaalnay xal laga helo iibiyaha gudaha, alaabtu waxay ku xiran tahay qayb cusub oo la abuuray DSO. Goobta waxaa loo doortay waqtigeeda bixinta, dabacsanaanta miisaanka iyo suurtogalnimada in si buuxda loo wada shaqeeyo. Tijaabooyin la sameeyay:

  • Suurtagalnimada maaraynta dabacsanaan iyo si toos ah oo dhammaystiran ee kaabayaasha madal-wareedka (shabakadda, nidaamka-hoosaadka diskka, nidaamka-hoosaadka kheyraadka xisaabinta).
  • Automation-ka maaraynta meertada nolosha mashiinka farsamada (templing, snapshots, backups).

Ka dib markii la rakibo iyo qaabeynta aasaasiga ah ee madal, waxaa loo isticmaalay sidii barta meelaynta nidaamyada hoose ee marxaladda labaad (qalabka DSO, qaababka horumarinta nidaamyada tafaariiqda). Qaybaha lagama maarmaanka ah ee dhuumaha ayaa la abuuray - abuurista, tirtirka, wax ka beddelka, kaydinta mashiinnada farsamada. Tuubooyinkan waxaa loo isticmaalay sidii marxaladdii ugu horreysay ee habka geynta.

Natiijadu waxay tahay in qalabka la bixiyay aanu buuxin shuruudaha bangiga ee waxqabadka iyo dulqaadka qaladka. DIT ee bangiga ayaa go'aansaday inuu abuuro kakan oo ku salaysan xirmada software Nutanix.

Heerka 2. Waxaan qaadnay xirmada la qeexay, waxaanan u qornay rakibaad toos ah iyo qoraallada dib-u-habeeynta ee dhammaan nidaamyada hoose si wax walba looga wareejiyo duuliyaha loona wareejiyo wareegga bartilmaameedka sida ugu dhaqsaha badan. Dhammaan nidaamyada waxa la geeyey qaabaynta u dulqaadanaysa cilada (halkaas oo aanay awooddani ku xaddidnayn siyaasadaha shatiga iibiyaha) oo ay ku xidhan yihiin cabbirada iyo nidaamyada ururinta dhacdooyinka. IB waxay falanqeysay u hoggaansanaanta shuruudaha waxayna bixisay iftiinka cagaaran.

Heerka 3. U haajiridda dhammaan nidaamyada hoose iyo habayntooda PAC cusub. Qoraalada otomaatiga ah ee kaabayaasha ayaa dib loo qoray, guuritaanka nidaamyada hoose ee DSO waxaa lagu dhameeyay qaab toos ah. Wareegyada horumarinta IP-ga waxaa dib u sameeyay tubooyinka kooxaha horumarinta.

Marxaladda 4. Automation ee rakibidda software-ka codsiga. Hawlahan waxaa dejiyey kooxda hogaaminaysa kooxaha cusub.

Marxaladda 5. Ka faa'iidaysiga.

Helitaanka fog

Kooxaha horumarinta ayaa codsaday dabacsanaanta ugu badan ee la shaqeynta wareegga, iyo shuruudaha gelitaanka fog ee kombiyuutarada shakhsi ahaaneed ayaa la kiciyay bilawgii mashruuca. Bangigu wuxuu horey u lahaa marin fog, laakiin kuma haboona kuwa horumariya. Xaqiiqdu waxay tahay in nidaamku isticmaalay xidhiidhka isticmaalaha VDI-ga la ilaaliyo. Tani waxay ku habboonayd kuwa kaliya ee u baahan boostada iyo xirmo xafiis oo goobta shaqada ah. Horumariyayaashu waxay u baahan doonaan macaamiil culus, waxqabad sare, oo leh ilo badan. Dabcan, waxay ahayd inay noqdaan kuwo taagan, maadaama lumitaanka fadhiga adeegsadaha ee kuwa la shaqeeya VStudio (tusaale ahaan) ama SDK kale waa wax aan la aqbali karin. Abaabulka tiro badan oo VDI-yo qaro weyn leh oo loogu talagalay dhammaan kooxaha horumarinta ayaa si weyn u kordhiyey qiimaha xalka VDI ee jira.

Waxaan go'aansanay inaan ka shaqeyno marin-u-helka fog si toos ah ilaha qaybta horumarinta. Jira, Wiki, Gitlab, Nexus, dhis oo tijaabi kuraas, kaabayaasha farsamada Ilaalada ammaanka ayaa dalbaday in gelitaanka la heli karo oo keliya iyadoo ku xiran arrimaha soo socda:

  1. Isticmaalka tignoolajiyada hore looga heli jiray bangiga.
  2. Kaabayaasha dhaqaalaha waa in aysan isticmaalin kontaroolayaasha domain ee jira kuwaas oo kaydiya diiwaanada walxaha xisaabta wax soo saarka leh.
  3. Helitaanka waa in lagu xaddidaa oo keliya agabka ay u baahan yihiin koox gaar ah (si koox wax soo saarku aanay u helin agabka koox kale).
  4. Xakamaynta ugu badan ee RBAC ee nidaamyada.

Natiijo ahaan, qayb gaar ah ayaa loo sameeyay qaybtan. Goobtani waxa ay haysay dhammaan agabyada qaybta horumarinta, labadaba aqoonsiga isticmaalaha iyo kaabayaasha. Wareegga nolosha ee diiwaannada boggan waxaa lagu maareeyaa iyadoo la isticmaalayo IdM ka jira bangiga.

Gelitaanka tooska ah ee fogaanta ayaa la abaabulay iyadoo lagu salaynayo qalabka jira ee bangigu leeyahay. Xakamaynta gelitaanka waxa loo qaybiyay kooxaha AD, kuwaas oo xeerar ku saabsan mawduucyada u dhigma (hal koox wax soo saar = hal koox oo sharci ah).

Maaraynta Template VM

Xawaaraha abuurista isu-ururinta iyo tijaabinta wareegga waa mid ka mid ah KPI-yada ugu muhiimsan ee uu dejiyo madaxa qaybta horumarinta, sababtoo ah xawaaraha diyaarinta deegaanka ayaa si toos ah u saameeya wakhtiga guud ee fulinta dhuumaha. Laba ikhtiyaar oo loogu talagalay diyaarinta sawirada VM-ka ayaa la tixgeliyey. Midka koowaad waa cabbirka sawirka ugu yar, oo ku habboon dhammaan badeecadaha nidaamka, u hoggaansanaanta ugu badan ee siyaasadaha bangiga ee ku saabsan dejinta. Midda labaad waa sawirka salka, kaas oo ka kooban POPPO culus oo lagu rakibay, wakhtiga rakibidda kaas oo si weyn u saameyn kara xawaaraha fulinta dhuumaha.

Kaabayaasha iyo shuruudaha amniga ayaa sidoo kale la tixgeliyey inta lagu guda jiro horumarinta - haynta sawirada ilaa taariikhda (patches, iwm.), isdhexgalka SIEM, goobaha amniga sida waafaqsan heerarka bangiga.

Natiijo ahaan, waxaa la go'aamiyay in la isticmaalo sawirada ugu yar si loo yareeyo kharashka ku baxaya la socoshada. Aad bay uga sahlan tahay in la cusboonaysiiyo OS-ga saldhigga intii lagu dhejin lahaa sawir kasta noocyada cusub ee POPPO.

Iyada oo ku saleysan natiijooyinka, liis ayaa la sameeyay habka ugu yar ee loo baahan yahay ee nidaamyada hawlgalka, cusboonaysiinta kaas oo ay fulinayaan kooxda hawlgallada, qoraallada dhuumaha ayaa gebi ahaanba mas'uul ka ah cusboonaysiinta softiweerka, haddii loo baahdo, beddelo nooca ee software-ka lagu rakibay - kaliya u wareeji sumadda loo baahan yahay dhuumaha. Haa, tani waxay u baahan tahay kooxda wax soo saarka ee devops si ay u helaan xaalado geyn kakan, laakiin waxay si weyn u yaraynaysaa wakhtiga hawlgalka ee loo baahan yahay si loo taageero sawirada salka, taas oo haddii kale u baahan karta in ka badan boqol sawirada VM saldhig u ah si loo ilaaliyo.

Galitaanka internetka

Caqabad kale oo ku timid amniga bangiyada ayaa ahaa helitaanka ilaha internetka ee deegaanka horumarka. Intaa waxaa dheer, gelitaankan waxaa loo qaybin karaa laba qaybood:

  1. Helitaanka kaabayaasha.
  2. Helitaanka horumariyaha.

Helitaanka kaabayaasha waxaa soo agaasimay wakiil ka ah kaydka dibadda ee Nexus. Taasi waa, gelitaanka tooska ah ee mishiinnada farsamada lama bixin. Tani waxay suurtogal ka dhigtay in heshiis la gaaro amniga macluumaadka, kaas oo si cad uga soo horjeeda in la helo wax kasta oo ka yimaada adduunka ka baxsan qaybta horumarinta.

Soo-saarayaashu waxay u baahdeen gelitaanka internetka sababo muuqda dartood (stackoverflow). In kasta oo amarrada oo dhan, sida kor lagu soo sheegay, ay marin fog u lahaayeen wareegga, had iyo jeer kuma habboona marka aadan ka samayn karin ctrl + v goobta shaqada horumariyaha ee bangiga ee IDE.

Waxaa heshiis lala galay IS kaas oo marka hore, heerka tijaabada, gelitaanka lagu bixin doono wakiil bangi oo ku salaysan liis cad. Marka la dhammeeyo mashruuca, gelitaanka waxaa loo wareejin doonaa liiska madow. Waxaa la diyaariyay miisas aad u weyn oo soo geli kara, kuwaas oo tilmaamaya agabka ugu muhiimsan iyo kaydadka loo baahan yahay in la galo bilowga mashruuca. Isku-dubbarididda gelitaankan waxay qaadatay waqti caddaalad ah, taas oo suurtogal ka dhigtay in lagu adkaysto isbeddelka ugu dhakhsaha badan ee suurtogalka ah ee liiska madow.

Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹

Mashruucu waxa uu dhamaaday wax ka yar sanad ka hor. Si la yaab leh, dhammaan qandaraasleyaashu waxay u beddeleen kaydka cusub waqtigii loogu talagalay oo qofna kama tagin otomaatiga cusub awgeed. IB kuma degdego inuu la wadaago ra'yi-celin togan, laakiin sidoo kale ma cawdo, taas oo aan ku soo gabagabeyn karno inay jecel yihiin. Iska horimaadyadu way yaraayeen sababtoo ah amniga macluumaadka ayaa mar kale dareemaya in la xakameynayo, laakiin ma farageliyaan hababka horumarinta. Kooxaha waxaa la siiyay mas'uuliyad dheeraad ah, iyo hab-dhaqanka guud ee ku aaddan amniga macluumaadka ayaa noqday mid wanaagsan. Bangigu wuxuu fahmay in u gudubka DevSecOps uu ahaa ku dhawaad ​​lama huraan, wuxuuna u sameeyay, fikradayda, habka ugu dabacsan oo saxda ah.

Alexander Shubin, naqshadeeyaha nidaamka.

Source: www.habr.com

Add a comment