DevOps 2022:利用软件供应链的5个大石头
与社区一起,JFrog开创了我们现在所知的DevOps,专注于二进制文件(也就是软件包、工件或映像)。十年前,没有人认为二元管理会成为一件事——现在它是大多数公司不可或缺的标准。当时,我们说软件的通用性是必要的,现在其他人也纷纷效仿。人们认为云计算将是单一供应商的决定。我们投资了混合动力车多重云现在我们看到各行各业都在发生这种情况。
我们说过,到2021年,我们将看到DevOps的巨大增长,在短短一年内,我们看到一些上市公司和投资者现在估计DevOps市场的TAM将达到500亿美元。这些都是很好的表扬,肯定了我们的专注。但现在是时候期待DevOps的下一个飞跃了,支持所有公司进行业务数字化转型。
2022年都是关于双星的
在一个自动化驱动更智能、更快、更好的软件的世界里,二进制管理现在是任何公司的核心。由于软件推动了世界的发展,二进制文件已经成为每个人的业务。让我解释一下。
二进制文件是软件世界中唯一被“带入”到组织中、在组织中构建、测试、自动化、安全、推广和部署在边缘的资产。双星是血液流动的软件供应链,以及最终交付到产品中的核心软件价值(而不是源代码)。软件供应链是由组织的开发团队导入、构建和交付的二进制文件,它根本无法通过以源代码为中心的方法来控制。
事实上,“Git之后”的一切都是软件发布周期中二进制驱动的步骤。自动化是关于二进制文件的。分布到边缘是二进制部署。即使它有时从静态源代码扫描开始,公司的安全性也与您在生产环境中运行的二进制文件有关(参见SolarWinds和Log4Shell-稍后会详细介绍。)软件供应链是关于管理、交付、部署和保护二进制文件的。时期。
虽然JFrog一直从事二进制业务,但在2022年,您将看到许多企业和平台的路线图开始将二进制生命周期作为其DevOps和安全堆栈的关键任务部分。如果这部分处理不当,企业将无法在未来一年实现数字化转型的承诺。
如果你认为“数字化转型”是一个过时的词,那就再想想吧。一些分析公司估计,只有四分之一计划转型的公司已经开始这样做。转型的DevOps还有很长的路要走,这条路是由二进制管理铺就的。
DevSecOps还没有成为现实(但它可以成为现实)
虽然坊间议论纷纷。”DevSecOps,它仍然只是一个短语——而且肯定没有任何特定的标准为开发人员和安全涉众提供共同的基础。我们可以诚实地解释原因:DevOps将开发人员和运维团队带入一种更加融合的思维方式,在“DevSecOps”的世界中还没有发生过。在软件发布过程中,安全性仍然是附加的,或者是非常必要的,但对开发人员来说是侵入性的步骤。
还记得不久前“开发”还是程序员的世界,而“运维”还是IT的世界吗?这两个群体通过分享相同的痛苦和相同的动机而成为DevOps团队。我们共同创造了这个新的DevOps现实。
但当你在DevSecOps中加入Sec时,情况就大不相同了。我们现在要求开发人员——作为一个行业——开发安全技能,或者至少加入软件组合分析(SCA)工具然后按流程分类。我们会说“向左移动”来说明这些移动(当然非常重要)。然而,如果你问任何一个开发人员,他们更愿意编码和增加价值,而不是担心安全性。
但是业务部门坚持认为安全必须是故事的一部分,并从一开始就集成到供应链生命周期中,以保护组织,而不仅仅是开发人员或开发过程。Log4j的最新提醒等备受瞩目软件供应链攻击只有巩固了这一点,下一个“大问题”就不可避免地会出现。
到2022年,供应链安全——以开发人员为中心——将成为人们关注的焦点,因为各组织团结起来,使安全测试和扫描民主化,实施软件材料清单(SBOM)的需求,并越来越多地利用安全解决方案来创建一个完整的软件发布监管链,以保持系统平稳安全地运行。但是解决方案必须更加全面,而不是现在由安全工程团队驱动的4、5、6、7+安全解决方案。然后开发人员有各种专门的解决方案来查看他们的代码或应用程序(这也很重要)。这种分散的、多秒的方法必须改变。
举个例子:世界各地数以百万计的开发者放弃了他们的圣诞假期,以帮助他们的公司从最近的困境中恢复过来Log4j脆弱性。开发人员都有安全工具和OSS扫描器——那么发生了什么呢?为什么开发人员要再次为安全漏洞付出代价?简单的回答是,重点没有放在正确的资产上!他们希望找到并替换一个可以修复所有问题的二进制文件,但是由于现有系统没有实现二进制安全性和管理实践,因此无法找到。
好消息是,这个困境对两个团队来说都是可以解决的。通过关注我们试图保护的“什么”(二进制文件),而不是我们试图保护它们的“方式”(每一步都有无数的工具),DevOps世界可以保护开发人员,保护用户开源管理过程,保护构建过程,并保护部署和运行时环境。因此,在整个DevOps管道中全面保护二进制文件是保护组织和使开发人员更有效地实现DevSecOps承诺的关键。
简而言之,2022年将是我们开始看到真正的文化变革的一年,将安全和开发团队结合在一起,将二进制文件作为共享资产放在中心。它可能是。码头工人形象或者是您从公共中心代理的OSS包,但是二进制文件将是我们将管理、管理、保护和交付的资产。
管理源代码不能修复你的供应链
源代码和持续集成是每个开发人员的起点。以前,Subversion和Perforce是游戏的名称,现在大多数VCS解决方案都是基于git的。但是今天的痛苦并不在于管理源代码或选择IDE。现在的问题在于规模、速度和信任,因为您要自动化整个以二进制为中心的交付周期。
“GitOps”或其他源代码驱动的方法在某些情况下可能有用,但并不是解决这些供应链问题的正确资产。为什么?元数据来自二进制文件/软件包。依赖是通过二进制文件应用和交付的。自动化通过二进制文件的移动实现。供应链安全是关于管理和保护二进制文件。
这意味着在2022年,二进制管理-与您的VCS和GitOps实践-不只是有备无患。这是控制整个供应链的必要条件。最近震动业界的安全警报都是关于易受攻击的软件包,而不是源代码管理或操作。发现影响是关于二进制的。修补和更新是关于二进制文件的。这里有一个不容忽视的主题。
2022年,混合动力车将成为一流公民
正如我们的工作环境已经永远变成了混合模型一样,大多数公司的部署模型也是如此。这可能不是什么新闻,因为JFrog长期以来一直认为混合云不是偶然的,也不是一次性的例外。混合云是新的云标准,也是许多公司有意为之的。
但在2022年,我们都将看到不再有单一的部署环境——即使是“云优先”的商店。我们看到云供应商自己也在推动采用这种混合概念。只要看看内部部署和云计算之间的桥梁,像AWS这样的提供商最近推出了可用的服务内部部署Kubernetes。混合是有意为之的、高效的新常态,如果企业不接受支持这些模式的服务,转型将是最困难的。
当然,我们也会看到更多的混合设置作为通往以云为中心的方法的途径,所以即使公司打算这样做完全迁移到云端到2022年,将有更多的混合动力装置用于开发和生产。
2022年是边缘之年
分析人士认为,在未来几年内,我们必须管理的边缘数量将增加数百万(数据中心、服务器、集群),同时纳入数十亿(“b”)新设备。到2022年,我们将看到全行业推动利用云、多云和混合边缘拓扑,这将需要强大的解决方案来分发(和管理)公司的二进制文件。
举个例子,世界上最受欢迎的汽车公司之一公开表示,轮胎、引擎、座椅或马力不再是关键。这一切都与Over The Air (OTA)软件更新有关;这些才是为司机——他们的客户——提供真正价值的东西。当你开车时,你的体验会得到改善,你会更安全,你会更聪明,你会更见多识广,作为一名司机,你会更开心。这种焦点的转移将软件推向了最前沿。它连接了2022世界杯预选赛 工作流程,软件分发在设备上部署二进制文件(并且只有二进制文件)作为新的竞争优势。
2022年将是双“大爆炸”
双星将在2022年爆发更多。不仅仅是二进制文件的数量(当然增长很快),还有对导入的关注二进制文件和管理其生命周期的技术。这不是一种趋势——这是一个事实。
但仅仅管理一些事情是不够的。你必须对你的资产有足够的信心来推动它们的差异化。随着DevOps领域的扩展,我期待看到JFrog团队和开发社区如何继续使DevOps和软件供应链不再被动地被驯服,而是成为我们所有人无畏地利用来推动成功的东西。
愿青蛙在2022年与我们同在。
