Re-Think IT!

6 Take-aways von der DevOpsCon 2019: Mehr Sicherheit und Verantwortungsbewusstsein vonnöten

Dominik Mohilo, Katharina Degenmann, Ann-Cathrin Klose

© Shutterstock/Kim Reinick

Die DevOpsCon 2019 ist zu Ende und wir sagen „Atschö, Berlin“. Doch wie das bei Konferenzen so üblich ist, wirken die besuchten Sessions und Keynotes noch eine ganze Weile nach. DevSecOps, Service Meshes und natürlich die neuesten Erkenntnisse im Bereich agiler Softwareentwicklung waren unter anderem Thema. Hier sind unsere 6 Take-aways von der DevOpsCon 2019 in Berlin.

#1 – DevSecOps: Ein holistischer Ansatz in der CI/CD Pipeline

Die Formel 100:10:1 ist im DevOps-Umfeld, insbesondere im Bereich DevSecOps wohlbekannt. Sie steht dafür, dass auf 100 Entwickler 10 Operator und lediglich 1 Security Agent kommen. Dabei wäre es so wichtig, mehr für die Sicherheit zu tun – und so einfach! Wie Victoria Almazova von Microsoft ausführt ist das Herz von DevSecOps die CI/CD Pipeline. Und in jeder Pipeline, die klassischerweise aus 5 Schritten besteht, lassen sich einfache Sicherheitsmechanismen installieren. Die Frage, warum und vor allem wie sich Security automatisieren lässt, könnte so beantwortet werden.
Der erste Schritt, die Entwicklungsphase, könnte u.a. mit richtigen Coding-Standards oder Security Plug-ins für die IDE sicherer gemacht werden. Dabei geht es darum, die Sicherheit bereits von der ersten Zeile Code an, im Auge zu haben. Auf die Entwicklung folgt der Commit. Schnelles Feedback für die Entwickler ist hier das Ziel, Sicherheitsmechanismen könnten eine statische Codeanalyse oder Unit-Tests sein. Wichtigster Sicherheitsaspekt in der Phase ist allerdings das Dependency Management, denn die größte Gefahr sind unsichere Inhalte wie Frameworks oder Bibliotheken Dritter. Security Scanning, die richtige Cloud-Konfiguration und Infrastructure as Code sind Beispiele für Mechanismen, um in der Acceptance-Phase eine umfassende Prüfung der Anwendung und der Infrastruktur durchzuführen.

Dann folgt der Schritt in die Produktion: sogenannte Security Smoke-Tests und die Prüfung der Konfiguration sind wichtig, um sicher zu stellen, dass das Setup den Sicherheitsstandards entspricht. Zum Schluss kommt dann schließlich die Operations-Phase, wo sich der Dev(Sec)Ops-Kreis schließt. Zu diesem Zeitpunkt heißt das Ziel Continuous Security und Lessons Learned. Es geht also auch um das kontinuierliche Monitoring der Anwendung, außerdem sollten Postmortems – ohne Schuldzuweisungen – durchgeführt werden.

#2 – Istio: Der Indiana Jones im Service-Mesh-Dschungel

So eine Microservices-Architektur kann schon etwas Schönes sein, doch – bei aller Microservices-Liebe – jede Medaille hat eine Kehrseite. Microservices-Architekturen wachsen schnell zu komplexen Service Meshes heran. Solch ein wirklich dichtes Geflecht von (Micro)Services ist nicht leicht zu bändigen – zu leicht verliert man den Überblick im Service-Mesh-Dschungel bzw. verheddert sich im engen Netz. Doch „keine Panik – hier kommt Istio ins Spiel“, sagt Patrick Arnold (Pentasys AG) in seiner Session „Service Mesh mit Istio für Einsteiger“.

„Solange man Istio an seiner Seite weiß, ist kein Microservices-Dschungel zu dicht!“

Istio ist also eine Art Indiana Jones unter den Service-Mesh-Tools, das selbst im dichtesten Service-Mesh-Dschungel den Überblick behält. In Entwickler-Slang heißt das: Es überwacht und steuert die Kommunikation zwischen den einzelnen Diensten, sorgt für die Durchsetzung von Security, erkennt und behebt die Fehlfunktionen und liefert Informationen über den Zustand des Service Mesh. Neben all dem was Istio ist und kann, zeigte Arnold mit seiner praxisbezogenen Einführung vor allem eines: Jede Angst – und ist der Dschungel noch so dicht – ist unbegründet, solange man einen passenden Gefährten (Werkzeug) an seiner Seite weiß.

#3 – Infrastructure as Code: Auf Erfahrung setzen

Unit Tests sind ein bewährtes Instrument in der Software-Entwicklung, das auch bei der Arbeit an Infrastructure as Code (IaC) dabei hilft, Fehler frühzeitig zu finden. Und das ist nicht das einzige Best Practice, das aus einer Domäne auf die andere übertragen werden kann: Wenn man auf bewährte Methoden aus der Softwareentwicklung zurückgreift und diese auch für IaS einsetzt, mache man wenig falsch, wie Emma Button (nubeGo) in ihrer Session erklärte. So sei es beispielsweise auch für IaS sinnvoll, nicht jedes Stück Code selbst zu schreiben, sondern stattdessen auf bewährte Lösungen in Form von Bibliotheken zurückzugreifen. Im Interview von der Konferenz verrät die Speakerin, welches Best Practice sie für besonders wichtig für die Arbeit an IaC-Lösungen hält:

#4 – Vertrauen durch Gemeinsamkeiten aufbauen

Casie Siekman (Solution Design Group) sprach am zweiten Hauptkonferenztag der DevOps Con Spring 2019 über gewaltlose Kommunikation. Dabei geht es bei weitem nicht nur darum, sein Gegenüber nicht zu beleidigen! Das sollte ja zum Standard gehören – mehr noch ist es aber wichtig, wie eine Botschaft kommuniziert wird. So kommt es nicht nur darauf an, dass das eigene Anliegen klar ausgedrückt wird. Auch sollte bedacht werden, wie eine Aussage auf das Gegenüber wirkt und welche Emotionen sie auslöst. Eine aus eigener Sicht berechtigte Kritik kann nämlich schnell zu einer Abwehrreaktion führen, weil der Angesprochene sich angegriffen fühlt. Hier hilft es, wenn bereits zuvor eine gemeinsame Basis aufgebaut wurde. Wer seine Kollegen kennt und herausfindet, was man mit ihnen gemeinsam haben könnte, empfindet die Kollegen als sympathische. Daraus entsteht dann eine Vertrauensbasis, auf der auch unangenehme Gespräche möglich werden. Wer also gern mal ein, zwei Sätze mehr mit den Kollegen wechselt, sollte kein schlechtes Gewissen haben, sondern die Zeit als Investition in die zukünftige Konfliktbewältigung sehen.

DevOpsCon Istio Cheat Sheet

Free: BRAND NEW DevOps Istio Cheat Sheet

Ever felt like service mesh chaos is taking over? As a follow-up to our previous cheat sheet featuring the most important commands and functions, DevOpsCon speaker Michael Hofmann has put together the 8 best practices you should keep in mind when using Istio.

#5 – Zeit für mehr Vertrauen in Ops

Dass Entwickler im Bereich DevOps oftmals deutlich mehr im Spotlight stehen als die Operator, ist nichts Neues, wie Damon Edwards in seiner Keynote dieses Jahr feststellte. Blickt man in die Geschichte, war das letzte große Ding im Ops-Bereich ITIL, das 1989 das Licht der Welt erblickte. Agile Softwareentwicklung ist dagegen mit gerade einmal 18 Jahren ein eher junges Thema. Dabei wäre es wichtig, den Operatorn etwas mehr Innovation und Gehirnschmalz zu widmen – oder anders gesagt: Keiner redet darüber, was nach dem Deployment passiert, obwohl alle schnelleres Time-to-Market und gleichzeitig niedrigste Fehlerquoten verlangen.

Bessere Tools, mehr Mitarbeiter und mehr Disziplin oder Detailverliebtheit werden, so Edwards, nicht helfen. Helfen würde eher, wenn Entscheidungen nicht mehr drei Gehaltsstufen über den Köpfen getroffen werden dürften und müssten, die direkt mit den Alltagsproblemen konfrontiert sind und sich dementsprechend am besten auskennen. Mehr Vertrauen für die Operator also. Auch cross-funktionale Teams sind eine gute Idee, allerdings sitzen viele hierbei einem Irrglauben auf: Cross-funktional bedeutet nicht, dass alle alles können müssen. Stattdessen geht es um geteilte Zuständigkeiten und Verantwortung.

#6 – Daten statt Bauchgefühl – aber mit Verantwortung!

Gute Daten helfen dabei, Projekte besser zu planen. Wie lange braucht ein agil arbeitendes Team für ein bestimmtes Feature? Die meisten Entwickler haben sich bei dieser Frage wohl schon mal so richtig vertan, wenn sie sich für die Einschätzung auf ihr Bauchgefühl verlassen haben. Jacob Tiedemann (ThoughtWorks) hat auf der DevOps Con Spring 2019 aus diesem Grund dazu geraten, Daten zu erfassen und diese für solche Einschätzungen zu verwenden. Für den Einstieg reiche es, jeden Tag in einem einfachen Excel-Dokument zu erfassen, wie viel geschafft wurde und welcher Zeitrahmen dafür nötig war. Daraus entsteht mit der Zeit dann eine Datenbasis, mit der viel genauer ermittelt werden kann, wie viel Zeit für eine Aufgabe notwendig ist und wo Hürden liegen, die ausgeräumt werden können.

Der Speaker ermahnte aber auch dazu, dass derartige Metriken verantwortungsvoll genutzt werden müssen. So sei es wichtig, das große Ganze, also das Team zu betrachten, nicht einzelne Personen. Die Datenerfassung solle keinesfalls dazu dienen, Vorwürfe zu machen oder anhand eines einzelnen Datenpunkts auf Schwierigkeiten zu schließen. Ziel sei viel mehr, Trends und größere Zusammenhänge zu erkennen. Der Speaker betonte außerdem, dass Daten, die teamintern erfasst werden, nicht ohne das Einverständnis der Gruppe mit Außenstehenden geteilt werden dürfen. Erfasste Daten sollen dazu dienen, das Team in seiner Arbeit zu unterstützen, nicht dazu, den Vorgesetzten zufrieden zu stellen!

See you in Munich!

Wie immer können wir nur einen kleinen Eindruck vermitteln, was in den über 60 Talks, Workshops und Keynotes zu lernen war. Für den tiefen Einstieg halten Sie hier auf JAXenter die Augen offen. Dort finden Sie neben Videointerviews mit den Speakern auch demnächst alle Keynotes und ausgewählte Sessions in voller Länge. Wenn das nicht reicht, kommen Sie doch auf der DevOpsCon 2019 in München vorbei!

Geschrieben von
Dominik Mohilo
Dominik Mohilo
Dominik Mohilo studierte Germanistik und Soziologie an der Goethe-Universität in Frankfurt. Seit 2015 ist er Redakteur bei S&S-Media.
Katharina Degenmann
Katharina Degenmann
Katharina ist hauptberuflich hilfsbereite Online- und Print-Redakteurin sowie Bücher- und Filme-Junkie. Nebenbei ist sie Möchtegern-Schriftstellerin, die heimlich hofft, eines Tages ihr Geld als Kaffee-Testerin zu verdienen. Seit Februar 2018 arbeitet sie als Redakteurin bei der Software & Support Media GmbH, davor hat sie Politikwissenschaft und Philosophie studiert.
Ann-Cathrin Klose
Ann-Cathrin Klose
Ann-Cathrin Klose hat allgemeine Sprachwissenschaft, Geschichte und Philosophie an der Johannes Gutenberg-Universität Mainz studiert. Bereits seit Februar 2015 arbeitete sie als redaktionelle Assistentin bei Software & Support Media und ist seit Oktober 2017 Redakteurin. Zuvor war sie als freie Autorin tätig, ihre ersten redaktionellen Erfahrungen hat sie bei einer Tageszeitung gesammelt.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: