当前,随着互联网尤其是移动互联网正在迅速改变企业的商业模式,中国企业正在加速向数字化企业转型。但新兴的商业模式和快速发展的服务需求给IT基础设施的发展带来了一些挑战。为了有效应对市场变化和用户需求,领先的企业组织已经开始探索利用开发与运营(DevOps)的理念和模型来实现系统的快速交付和新的迭代。中国信息通信研究院近期的一项调查显示[1],DevOps已广泛应用于互联网、金融服务、制造业等行业,给中国IT行业带来巨大变革。尽管DevOps确实通过快速迭代和开发为组织的业务带来了许多好处,但它也为负责支持此类项目安全开发的安全和风险管理的业务主管带来了挑战。这是因为某些应用程序受到隐私和访问、国家法规和强制监管的限制。因此,组织现在应该关注成本管理和安全性。我们预测,到2020年,组织将进行创新,并朝着更智能、更简单、更安全和更具成本意识的DevOps计划迈进。开发、安全和运营(DevSecOps)将成为现实。DevOps试图通过在企业组织曾经的“孤岛”中建立信任和共同利益的文化来弥合开发与运营之间的差距。但如果不纳入安全性,这一愿景是不完整的。安全是IT世界中的另一个孤岛。开发、安全和运营中的通信和流程故障是绝大多数关键系统停机的根本原因,包括那些由安全漏洞引起的停机。与此同时,网络攻击的频率、复杂性和影响正在增加,老练的攻击者利用安全风险渗透企业基础设施,并通过数据泄露给企业造成数百万美元的损失。从2018年1月到2019年6月,Akamai记录了超过610亿次撞库攻击,此类攻击是高度自动化的[2]。为了平衡敏捷开发与降低风险,组织正在考虑将DevOps与云原生安全原则相结合的DevSecOps策略。Gartner预测,到2021年,DevSecOps将被80%的快速开发团队采用,高于2017年的15%[3]。更重要的是,许多国家已经意识到数据保护和隐私问题,越来越重视数据隐私法规,例如中国的《网络安全法》、《欧盟支付服务修订法案(第二版)》(PSD2)和《通用数据保护条例》(GDPR)。因此,大量采用DevOps的组织将不得不在明年的产品上市前优先考虑安全工作。随着新法规的实施,更多的应用开发者将被迫直接在代码中构建严格的安全策略。因此,DevOps工具将有少量增加,这些工具可以满足信息安全团队中与合规性相关任务的需求,将安全和合规性措施引入日常持续集成(CI)工作流程中。随着经济变得更加不稳定,组织希望能够验证和优化其DevOps工具大规模提供的价值。许多市场专家预测未来12到24个月将出现大规模衰退或萧条,这意味着各地的企业机构都将寻找维持产能的方法,同时削减成本以渡过难关。在过去的几年中,企业组织内部的云优先和数字化转型计划在获得预算方面普遍“一路绿灯”,同时随着DevOps工具的成熟,实现这些的工具计划也在不断发展。广泛使用且价格越来越高。2020年,组织将重点关注成本结构,并寻求采用DevOps工具来获得相同的价值并最大限度地降低成本。专注于端到端的生命周期管理将简化DevOps工作流程的复杂性。随着微服务和持续集成和交付(CI/CD)工具链的出现,人们开始强调开发和利用许多不同的工具来解决分布在类似并行工作流中的小任务。例如,一个组织中的两个不同团队通常有单独的持续集成和交付(CI/CD)管道,其中包括许多不同的工具,用于版本控制、构建自动化、监控分析、早期测试、代码审查过程和其他要求。虽然组织从定制的工作流中受益,但这导致分布式团队中的工具激增,降低了生产力。DevOps供应商通常负责确保与其他供应商工具的兼容性。2020年,工具的数量将继续增加,但工具将趋向于端到端的生命周期管理和单一应用,可以简化工具和工作流程,最终将提高软件开发的速度和敏捷性。组织将越来越多地采用分析工具来使DevOps“更智能”。如今,成熟的DevOps组织正处于跨工作流最大化效率增益的边缘。随着这些组织寻求加速开发和提高生产力,数据科学、人工智能和自动化分析工具将更紧密地集成到工作流中,从而提高效率并缩短上市时间。开发人员将使用数据科学工具,通过存储库日志、测试结果、基础设施工作负载等的历史数据和遥测,获得更好的项目应用结果。这些技术与更智能的警报和事件驱动的触发器相结合,将推动持续的工作流程集成,以实现新一波以生产力为导向的成功。随着DevOps工具的成熟,组织已将注意力转移到这些工具增加的复杂性和成本以及减少的增量收益上。此外,组织不会在开发过程中停止关注安全性。他们必须保护整个DevOps生命周期,包括将新服务部署到正常操作中的时间。与开发一样,安全正在成为一个持续交付、学习和改进的过程。通过集成安全命令、更高级的预测智能和更简单的管理,DevOps工具可以继续扩展它们拥有的巨大优势。考虑到这一点,Akamai改进了其IntelligentEdge平台,使其比以往任何时候都更容易无缝集成到持续集成和交付(CI/CD)工作流程和DevOps工具中,以确保网站和移动应用程序提供用户期望的体验。用户的体验将是稳定可靠的,没有任何细微的干扰。更重要的是,他们确信自己的数据受到保护且安全。关于作者Sid是Akamai的高级产品经理,致力于为开发人员社区带来出色的体验,并使Akamai成为用户持续集成工作流程的重要组成部分,以及满足客户任何API流量需求的首选平台。作为一名产品经理,Sid对了解事情发生的原因有着浓厚的兴趣,并根据客户案例和数据做出决策。在加入Akamai之前,Sid为多家技术公司提供了优化开发生命周期的咨询服务。Sid拥有德克萨斯大学达拉斯分校的计算机科学学位和杜克大学的MBA学位。[1]http://news.idcquan.com/news/165560.shtml[2]https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-media-under-assault-report-2019.pdf[3]https://technology-signals.com/wp-content/uploads/download-manager-files/RedGate_Compliant_Database_DevOps.pdf
