Palestrantes e expositores na recente conferência DevOpsCon New York deixaram claro que o DevOps está avançando para novos desafios, muitos dos quais se baseiam na base do DevOps. Novos desafios incluem DevSecOps, melhoria de procedimentos de resiliência e segurança, redução do tempo para resolver um incidente, introdução de assistentes de IA e realinhamento de funções e responsabilidades organizacionais para melhor implementar a metodologia DevOps.
O Ciclo de Vida do DevOps
Segundo a maioria dos relatos, o DevOps começou há cerca de quinze anos como uma forma de reduzir o atrito entre as equipes de desenvolvimento e operações e acelerar a implantação de software. Muitas organizações descobriram que o DevOps é uma mudança cultural, bem como uma mudança tecnológica, uma vez que altera a linha de demarcação entre as equipes de operações e desenvolvimento. Muitas das novas direções para o DevOps também impactariam a cultura de TI.
As palestras principais da conferência descreveram considerações arquitetônicas do Kubernetes, estratégias de expertise em IA para produtividade do desenvolvedor, observabilidade de próximo nível, melhoria da resiliência e construção de confiança organizacional. Os fornecedores na área de expositores exaltaram as virtudes de fazer o DevOps da maneira certa, intensificando os testes e remediações automatizados, implementando melhor observabilidade e aprimorando a tecnologia de pipeline de CI/CD.
Não é uma Rua de Mão Única
Quando o DevOps começou há cerca de 15 anos, "as pessoas o viam como uma via de mão única", disse Steve Barreto, arquiteto sênior de soluções da expositora Keysight. "Mas não é — é um ciclo da vida", ele disse, no qual produtos como o Eggplant da Keysight testam continuamente o comportamento do aplicativo e o aprimoram. "O que acontece quando uma anomalia de IU é descoberta em testes de pipeline?"
A capacidade Digital Automation Intelligence (DAI) da Eggplant aumenta a taxa de integração com pipelines de CI/CD, disse Barreto. "DAI encontra anomalias com base no comportamento de testes anteriores e abre automaticamente um ticket com notas. Por exemplo, se ocorrer uma anomalia com um botão de aplicativo móvel que não funciona como esperado, o Eggplant DAI anexará uma captura de tela junto com o relatório de erro ao tíquete."
Depois que um desenvolvedor corrige a anomalia e reinicia o pipeline, o círculo do ciclo de vida do desenvolvimento começa novamente. Os desenvolvedores percebem que não é suficiente simplesmente automatizar o processo de implantação — o próximo passo é implantar continuamente as correções.
Melhorando a Resiliência
Em sua palestra principal, "As práticas de resiliência: narrativa, ponto comum e complexidade", Jabe Bloom, diretor da Ergonautic, descreveu uma abordagem para melhorar a resiliência com DevOps, levando em consideração o risco no design e o risco no uso.
Riscos no design são riscos que você pode prever durante o processo de planejamento, enquanto riscos no uso são incidentes inesperados que ocorrem na produção, disse Bloom. Primeiro, elimine o máximo possível de riscos no design, depois concentre-se no processo de lidar com riscos no uso. Em particular, preste atenção à carga cognitiva dos humanos envolvidos na resposta a sistemas que estão sobrecarregados ou falhando.
Embora você não possa eliminar completamente o risco, Bloom disse que você quer projetar o sistema para que ele possa se recuperar rapidamente. É importante ressaltar que a resiliência na recuperação rápida de eventos inesperados vem apenas da interação humana. Ele disse que a tecnologia, como um pipeline de CI/CD, influencia o escopo da ação humana dentro de um sistema e deve ser orientada para reduzir a carga cognitiva dos humanos envolvidos.
Melhorando o Pipeline
"Um dos maiores desafios dos desenvolvedores é introduzir mudanças com segurança e capacitar as equipes de desenvolvimento para fazer as mudanças com confiança", disse o vice-presidente de gerenciamento de produtos da CircleCI, Aakar Shroff, ao The New Stack. "Quando o CircleCI começou, há mais de uma década, os desenvolvedores estavam apenas se acostumando com a ideia de testes contínuos e estavam apenas começando a implementar CI/CD", disse ele.
O CircleCI garante que os desenvolvedores tenham visibilidade do sistema geral em relação às suas alterações, onde elas estão sendo executadas, se há um incidente que exige uma reversão e assim por diante, acrescentou Shroff. "Não é fácil imitar o Trabalho de Produção/Cargas de Trabalho do Usuário em outros ambientes", ele disse. "Execuções de análise podem ajudar — execute duas versões do aplicativo e compare os resultados. É sempre uma troca entre velocidade e segurança, mas as implementações acontecem mais rápido quando você remove o medo de uma mudança que causa um incidente."
Em particular, "o CircleCI inclui em seu escopo de visibilidade aspectos externos ao repositório de código. Por exemplo, quando uma biblioteca de terceiros ou uma API na qual você está confiando muda, nós validaremos automaticamente a mudança em relação ao seu aplicativo", disse Shroff, "no final das contas, isso fornece às equipes mais confiança para acelerar e permite que elas entreguem valor aos seus clientes".
O CircleCI recomenda que os desenvolvedores usem rollouts progressivos para ajudar a mudar o tráfego com segurança para uma nova versão de código durante uma atualização. Quando integrados a um aplicativo como rollouts do Argo, os desenvolvedores podem validar as principais métricas do pipeline para confirmar uma implantação ou acionar uma reversão.
"Para melhorar a experiência do desenvolvedor", disse Shroff, "nós garantimos a otimização constante do pipeline com base no feedback constante aos desenvolvedores para destacar desvios da prática padrão". Nesse sentido, a padronização do pipeline também pode ser vista como um dos próximos desafios do DevOps.
Melhorando a Organização
John Willis, fundador da Botchagalupe Technologies, autor de três livros sobre DevOps, colaborador frequente de artigos sobre DevOps e palestrante popular em conferências sobre DevOps, concentrou sua sessão na transformação organizacional. Sua palestra, "Além das caixas de seleção: incorporando a verdadeira resiliência cibernética", apresentou um modelo organizacional para incorporar a segurança intrinsecamente às capacidades de negócios.
Ele falou sobre "Dívida e Resiliência" e descreveu como o GenAI pode ajudar a identificar problemas e possíveis soluções. A palestra de Willis incorpora o sistema de conhecimento profundo de W. Edwards Deming, que ele cita como uma metodologia para transformação organizacional. Willis, que também escreveu um livro sobre Deming, disse que vê o sistema de Deming como algo que influencia como trabalhamos hoje e como trabalharemos no futuro.
"Somos pessoas que executam DevOps e infraestrutura e nem sempre estamos cientes dos riscos criados pela dívida técnica", disse Willis, incluindo os riscos de TI paralela e IA paralela. Para eliminar esses riscos e realizar a transformação, Willis recomenda quebrar os silos institucionais para alinhar melhor as funções e responsabilidades de negócios, TI e segurança cibernética para melhorar a resposta a incidentes.
Para Willis, o sucesso com o DevOps tem muito a ver com acertar a estrutura organizacional e melhorar a qualidade de todos os sistemas para criar uma verdadeira resiliência cibernética. Nesse sentido, a transformação bem-sucedida do DevOps não envolve apenas novos sistemas ou tecnologias, mas também mudar mentalidades e cultivar uma cultura que adote a melhoria contínua.
DevSecOps é o Futuro?
"O futuro do DevOps é o DevSecOps", disse Jonathan Singer, gerente sênior de marketing de produtos da Checkmarx, ao The New Stack. "Os desenvolvedores precisam considerar código de alto desempenho como código seguro. Tudo é código agora, e se não for seguro, não pode ser de alto desempenho", ele acrescentou.
A Checkmarx é uma fornecedora de segurança de aplicativos que permite que as empresas protejam seus aplicativos desde a primeira linha de código até a implantação na nuvem, disse Singer. A perspectiva DevOps tem que ser a mesma que a perspectiva de segurança do aplicativo, ele observou. Algumas pessoas pensam em ver o ambiente ao redor do aplicativo, mas a Checkmarx pensa em ver o código no aplicativo e certificar-se de que ele esteja seguro e protegido quando for implantado, ele acrescentou.
"Pode parecer que as equipes de segurança estão dando mais responsabilidade às equipes de desenvolvimento e, portanto, você precisa de pessoas de segurança na equipe de desenvolvimento", disse Singer. A Checkmarx está automatizando o trabalho mental pesado priorizando e triando os resultados de varredura. Com a quantidade de código, especialmente para grandes organizações, encontrar dez mil vulnerabilidades é bastante comum, mas elas terão diferentes níveis de gravidade. Se uma vulnerabilidade não for explorável, você pode eliminá-la da lista de resultados. "Agora estamos no jogo da redução de ruído", ele disse.
