DevOps 2022:利用软件供应链的5大岩石
与社区一起,JFrog开创了我们现在所知的DevOps,专注于二进制文件(也就是软件包、工件或映像)。十年前,没有人认为二元管理会成为一种东西——现在它是大多数公司不能没有的标准。那时,我们说软件的通用性是必要的,现在其他人也这么做了。人们认为云计算将是一个单一供应商的决定。我们投资了混合动力车多重云,现在我们看到它在各个行业都在发生。
我们曾说过,DevOps将在2021年出现巨大增长,在短短一年内,我们看到一些上市公司和投资者现在估计DevOps市场的TAM将达到500亿美元。这些都是对我们的鼓励,也是对我们专注的肯定。但现在是时候期待DevOps的下一次飞跃了,支持所有公司进行业务数字化转型。
2022年是双星年
在一个自动化大规模驱动更智能、更快、更好软件的世界里,二进制管理现在是任何公司的核心。由于软件为世界提供动力,二进制文件已经成为每个人的业务。让我解释一下。
二进制文件是软件世界中唯一被“带入”组织、在组织中构建、测试、自动化、安全、推广和部署在边缘的资产。二进制是血液的流动软件供应链,以及您最终交付到生产中的核心软件价值(而不是源代码)。软件供应链是由您的组织的开发团队导入、构建和交付的二进制文件,它根本不能被以源代码为中心的方法控制。
事实上,“Git之后”的所有内容都是软件发布周期中二进制驱动的步骤。自动化是关于二进制的。向边缘分布是二进制部署。即使它有时是从静态源代码扫描开始的,公司的安全性是关于您在生产环境中运行的二进制文件的(参见SolarWinds而且Log4j-稍后再说。)软件供应链是关于管理、交付、部署和保护二进制文件的。时期。
虽然JFrog一直从事二进制业务,但在2022年,你将看到许多企业和平台的路线图开始将二进制生命周期作为其DevOps和安全堆栈的关键任务部分。如果这个问题处理不当,企业将无法在未来一年实现数字化转型的承诺。
如果你认为“数字化转型”是过时的说法,那你就大错特错了。一些分析公司估计,计划转型的公司中只有四分之一已经开始这样做。变革性的DevOps还有很长的路要走,而二进制管理已经铺就了道路。
DevSecOps还不是一个真正的东西(但它可以)
虽然现在有很多传言。”DevSecOps,它仍然只是一个短语——而且肯定不是任何为开发人员和安全利益相关者提供共同基础的具体标准。我们可以诚实地解释原因:DevOps将开发人员和运维团队带入一种更加融合的思维方式,在“DevSecOps”世界中还没有发生过。在软件发布过程中,安全性仍然是一个附加的,或者是非常必要的,但对开发人员来说是侵入性的步骤。
还记得不久前“开发”是程序员的世界,“运维”是IT的世界吗?这两个群体通过分担相同的痛苦和相同的激励成为DevOps团队而合二为一。我们一起创造了这个新的DevOps现实。
但当你在DevSecOps中添加“Sec”时,情况就大不相同了。作为一个行业,我们现在要求开发人员开发安全技能,或者至少成立公司软件组合分析(SCA)工具并对他们的过程进行分类。我们说“向左移动”来说明这些移动(当然非常重要)。然而,如果你问任何一个开发人员,他们更愿意编码和增加价值,而不是担心安全性。
但是企业正确地坚持安全必须是故事的一部分,并从一开始就集成到供应链生命周期中,以保护组织——而不仅仅是开发人员或开发过程。Log4j作为最新的提醒等备受瞩目软件供应链攻击只有巩固这一点——下一个“大危机”不可避免地就在眼前。
在2022年,以开发人员为中心的供应链安全将成为人们关注的焦点,因为组织将团结起来进行安全测试和扫描,实施软件材料清单(SBOM)的需求,并越来越多地利用安全解决方案为软件发布创建完整的监管链,以保持系统平稳和安全地运行。但是解决方案必须比现在的4、5、6、7+安全解决方案更全面,这些解决方案由安全工程团队驱动。然后开发人员有各种专门的解决方案来查看他们的代码或应用程序(也很重要)。这种分裂的、多秒的方式必须改变。
举个例子:世界各地数百万开发人员放弃了他们的圣诞假期,以帮助他们的公司从最近的Log4j漏洞中恢复过来。开发人员都有安全工具和OSS扫描器——那么发生了什么?为什么开发者再次为安全漏洞付出代价?简单的答案是,我们的注意力没有放在正确的资产上!他们希望找到并替换一个二进制文件,以解决所有问题,但无法实现,因为现有系统没有实现二进制文件的安全性和管理实践。
好消息是,对于两个团队来说,这个困境是可以解决的。通过关注我们试图保护的“什么”(二进制文件),而不是我们试图保护它们的“如何”(每一步都有无数的工具),DevOps世界可以保护开发人员,保护开源管理过程,保护构建过程,以及保护部署和运行时环境。因此,在整个DevOps管道中全面保护二进制文件是保护组织和使开发人员更有效地实现DevSecOps承诺的关键。
简而言之,2022年将是我们开始看到实际文化变化的一年,将安全和开发团队结合在一起,将二进制文件作为共享资产。它可能是码头工人形象或者你从公共中心代理的OSS包,但二进制文件将是我们将策划、管理、保护和发布的资产。
管理源代码不能修复你的供应链
源代码和CI是每个开发人员开始的地方。在过去,Subversion和Perforce是游戏的名称,而现在大多数VCS解决方案都是基于git的。但是今天的痛苦并不在于管理源代码或做出IDE选择。现在的痛苦是关于规模、速度和信任,因为您自动化了整个二进制中心交付周期。
“GitOps”或其他源驱动方法在某些情况下可能有用,但不是解决这些供应链问题的合适资产。为什么?元数据来自二进制文件/软件包。使用二进制文件应用和交付依赖项。自动化是通过二进制文件的移动实现的。供应链安全是关于管理和保护二进制文件。
这意味着在2022年,二进制管理-与您的风险投资和GitOps实践-不仅仅是一个美好的拥有。这是控制整个供应链的必要条件。最近震惊业界的安全警报都是关于易受攻击的软件包,而不是源代码管理或操作。发现影响是关于双星的。补丁和更新是关于二进制文件的。这里有一个主题很难忽视。
2022年混合动力车成为一等公民
正如我们的工作环境已经永远地变成了混合模式,大多数公司的部署模式也是如此。这可能不是新闻,因为JFrog长期以来一直认为混合云不是偶然的,也不是一次性的例外。混合云是新的云标准,许多公司都有意为之。
但在2022年,我们都将看到不再有单一的部署环境——即使是“云优先”的商店。我们看到云供应商自己也在推动采用这种混合概念。只要看看本地和云之间的桥梁,就知道了,像AWS这样的提供商最近推出了可用的服务Kubernetes部署.混合动力是有意的、高效的新常态,如果企业不接受支持这些模式的服务,转型充其量也会很困难。
当然,我们也会看到更多的混合设置作为以云为中心的方法的途径,所以即使有公司打算这样做完全迁移到云端到2022年,开发和生产将会有更多的混合设置。
2022年是边缘年
分析人士认为,未来几年,我们必须管理的边缘(数据中心、服务器、集群)将增加数百万个,同时将并入数十亿个(有个“b”)新设备。在2022年,我们将看到全行业都在推动利用云、多云和混合边缘拓扑,这将需要强大的解决方案来分发(和管理公司二进制文件的分发)。
举个例子,世界上最受欢迎的汽车公司之一公开表示,它不再是轮胎、发动机、座椅或马力的问题了。这都是关于Over The Air (OTA)软件更新;这些才是为司机——他们的客户——提供真正价值的东西。当你开车时,你的体验会得到改善,你会更安全,更聪明,作为一名司机,你会获得更多的信息和娱乐。这种关注点的转移使软件更加突出。它连接了CI / CD工作流程,软件分发在设备上部署的二进制文件(而且只有二进制文件)作为新的竞争区分器。
2022年将是双星“大爆炸”
双星将在2022年进一步爆发。不仅仅是二进制文件的数量(当然增长很快),还有对导入的关注二进制文件和管理它们生命周期的技术。这不是一种趋势,而是一个永恒的真理。
但仅仅管理是不够的。你必须对自己的资产有足够的信心,以推动与它们的差异化。随着DevOps宇宙的扩展,我期待看到JFrog团队和开发社区继续使DevOps和软件供应链不再被动地被驯服,而是我们都无畏地利用它来推动成功。
愿青蛙在2022年与我们同在。
