Par Gologic en collaboration avec Alexandre Couëdelo.
L’année 2023 marquera le 15e anniversaire du DevOps. Nous devons nous attendre à voir les approches nées du DevOps, parfois appelées xOPS (DevSecOps, FinOps, DataOps, BizDevOps, GitOps, etc.) gagner encore plus d’importance. Chaque approche de type xOPS devrait proposer de nouveaux outils ou encore élargir les fonctionnalités des outils existants.
Un grand intérêt pour la sécurité/DevSecOps est à prévoir cette année. En effet, la chaîne d’assemblage logicielle est de plus en plus exposée et avec de récentes attaques à grande échelle, améliorer la sécurité devient un enjeu majeur. De plus, de nouvelles lois et exigences de conformité, telles que la Loi 25/Bill 64, poussent les organisations à adopter une attitude plus proactive en matière de sécurité et de confidentialité des données.
GitOps est déjà pour sa part une approche mature et populaire. Cette année devrait marquer l’adoption générale de cette pratique. Dans l’espace SRE (Site Reliability Engineering), l’accent sera mis sur la fiabilisation des systèmes en production, notamment via une meilleure instrumentation et l’adoption de l’approche SLO/SLI.
Nous devrions également voir l’essor de (Cloud) FinOps, lequel vise à aider la gestion financière et l’optimisation des coûts. Enfin, AIOps et ChatOps sont très attendus dans le domaine, car ils offriront un potentiel énorme pour l’automatisation des opérations et leur capacité d’infrastructure en libre-service.
Dans cet article, nous allons creuser plus en profondeur ces huit tendances qui devraient prendre d’assaut la sphère DevOps en 2023.
1- DevSecOps — Software Supply Chain
Security
La sécurité de la chaîne d’approvisionnement logicielle (Software Supply Chain Security—SSCS) est de plus en plus importante dans le monde DevOps, car le nombre d’attaques ciblant les dépôts de codes « open source » a considérablement augmenté ces dernières années. L’attaque de Solar Winds est un exemple clé et n’est pas un cas isolé.
Le besoin de Software Bill of Materials (SBOM) dans les pipelines est devenu essentiel pour évaluer le risque lié aux dépendances externes. Le projet OpenChain est à l’avant-garde pour aider à imposer des normes de sécurité et une conformité élevées dans les librairies « open source », tandis que l’outil Pyrsia est spécialement conçu pour augmenter la confiance et la traçabilité des forfaits « open source », en plus de proposer un nouveau modèle de build décentralisé. Comme toujours, les bonnes idées nées dans « l’open source » se propageront rapidement dans le monde de l’entreprise.
2- DevSecOps — Conformité en continu
La conformité en continu (Continuous Compliance) est une approche proactive visant à répondre aux obligations établies par les réglementations, telles que la Loi 25/Bill 64. Les sanctions financières entourant le non-respect de cette loi sont astronomiques (jusqu’à 25 millions CAD ou 4 % du chiffre d’affaires mondial de l’année précédente). De même que pour GDPR en Europe, la nouvelle réglementation canadienne exige que chaque organisation nomme un délégué à la protection des données (DPO). Celui-ci est chargé de valider l’application de la loi dans l’entreprise. Comment ce responsable peut-il contrôler et auditer l’organisation de façon continue ? Comment peut-on partager cette responsabilité dans l’entreprise ? Ce sont là deux questions importantes auxquelles les organisations devront répondre d’ici septembre.
Les premières étapes vers l’atteinte de cet objectif seront étroitement liées à de meilleures pratiques en matière de science des données, telles que le catalogue des données, soit un inventaire de tous les actifs des données d’une organisation, et la cartographie des données (« data-mapping »), soit un inventaire de tous les pipelines et de toutes les transactions de données, également appelé « data lineage ».
3- DevSecOps — Policy Framework
Les « Policy Frameworks » permettent une approche déclarative des « politiques de sécurité » sous forme de code. Cette approche peut être utilisée pour autoriser ou refuser différentes actions en fonction des règles de conformité ou de sécurité de l’organisation. Par exemple, on peut valider des manifestes Kubernetes, des configurations Terraform et même le trafic réseau ou les droits des utilisateurs.
OPA (Open Policy Agent) est un exemple de Policy Framework. Il fournit un langage facile à utiliser appelé Rego, lequel permet d’utiliser le même langage pour les politiques de différents services et outils. Vous pouvez consulter « awesome-opa repository », qui liste les outils et projets utiles liés à OPA. D’autres alternatives existent dans le milieu, dont notamment Kyverno, qui est uniquement destiné aux Kubernetes.
4- DevSecOps — Zero Trust Architecture
La conception d’architecture « Zero Trust » (sans confiance) gagne en popularité comme moyen de repenser la façon dont nous gérons l’accès aux ressources d’entreprise, en particulier aux applications internes et aux données sensibles.
Le principe sous-jacent de « Zero Trust » est de ne jamais supposer qu’une personne ayant accès au réseau d’entreprise est digne de confiance et de toujours vérifier les identités et les informations d’identification. Cela nécessite l’utilisation de « credentials » à durée limitée, de « provisionnement » d’accès sur demande, ainsi que des protocoles d’authentification, d’autorisation et de chiffrement.
De nombreux fournisseurs utilisent le terme « Zero Trust » comme un « buzzword » marketing, sans toutefois fournir une solution complète. Cet élément sera à surveiller au cours de l’année 2023. Hashicop Boundary semble être un outil vraiment intéressant et vient tout juste d’atteindre GA, donc il sera certainement à surveiller de près cette année.
5- GitOps — Gestion de toute
l’infrastructure en code
GitOps est une méthodologie DevOps qui devient très populaire. Elle consiste à utiliser un dépôt Git pour stocker et verser la configuration de l’infrastructure (manifestes Kubernetes, code Terrafom, etc.). En 2022, deux outils GitOps, Flux CD et Argo CD, ont été diplômés de la Cloud Native Computing Foundation (CNCF). Cette certification va faire de GitOps une pratique de plus en plus courante dans les années à venir et les organisations qui ne l’ont pas encore adoptée devraient y réfléchir sérieusement.
À l’avenir, les manifestes de style Kubernetes seront la manière préférée de définir l’infrastructure et nous pourrions voir l’utilisation de Terraform remplacée par des outils qui suivent mieux l’approche GitOps.
6- SRE — Instrumentation SLO/SLI
SLO/SLI (Service Level Objective/Service Level Indicator) est l’une des méthodes clés permettant de mesurer les performances et la disponibilité du système. Cette approche a promis d’aider les ingénieurs SRE à réduire la fatigue due aux alertes trop sensibles. SLO/SLI est une approche structurée de l’observation et de l’alerte appuyée sur les valeurs de l’entreprise et de l’expérience de l’utilisateur.
Cependant, le manque d’outils et de solutions faciles à intégrer a empêché son adoption dans de nombreuses entreprises, en faisant du SLO/SLI le Graal du SRE. Pour faciliter l’adoption de SLO/SLI, des outils tels que Kubernetes (version 1.26) ont ajouté le support des métriques SLI. D’autres solutions « open source » et commerciales devraient certainement faire l’effort de rendre SLO/SLI facilement accessible.
7- FinOps — Reprendre le contrôle des
coûts
En exploitant les compétences et les outils SRE, il est possible d’optimiser les coûts d’utilisation de son infrastructure cloud. CloudFinOps se concentre sur la visualisation des coûts de l’ensemble de l’infrastructure cloud, du calcul de stockage, des coûts liés au stockage réseau, aux services SaaS et aux services tiers. Cette approche permet de faire le pont entre les départements des technologies, des finances et des données. Nous devrions d’abord voir des outils tels que KuberCost et InfraCost améliorer la visibilité des coûts d’infrastructure. Par la suite, nous pourrons certainement voir une évolution des bonnes pratiques et l’automatisation de l’optimisation des coûts.
8- ChatOps — AI pour les gouverner
tous
Sauf si vous ne viviez pas sous une souche en 2022, vous devez avoir entendu parler de GPT-2, GPT-3 et GPTChat, les tout derniers modèles d’IA appliqués aux langages et aussi les plus performants de l’histoire. Ils sont très polyvalents. Ils peuvent générer des textes, effectuer des traductions, écrire du code et même répondre à des questions complexes. Il ne fait aucun doute que cette technologie transformera l’industrie telle qu’on la connaît aujourd’hui. Elle viendra notamment en aide à la gestion des opérations et au support informatique. On peut imaginer des « chatbots » responsables de la gestion des accès et de la sécurité, ou encore de la mise en place d’architectures en libre-service.
Qui sait ce qui nous attend ? Les DevOps pourraient bien atteindre leur objectif ultime : tout automatiser et se remplacer eux-mêmes.
Conclusion
L’année 2023 promet d’être une année passionnante pour le DevOps ! Nous devrions nous attendre à une explosion de méthodologies inspirées du DevOps qui viendront combler certains manques dans notre écosystème actuel.
La sécurité sera l’enjeu majeur de 2023 et le DevSecOps reprendra le flambeau du DevOps avec plusieurs nouvelles stratégies pour mieux nous protéger : Software Supply Chain Security, Conformité en continu, Policy Framework et Zero Trust Architecture.
GitOps et SRE continueront quant à elles leur lancée respective pour devenir l’approche numéro 1 dans l’industrie. GitOps pour ce qui est de la gestion de l’infrastructure et SRE pour la fiabilité des systèmes avec son approche SLO/SLI.
Enfin, FinOps, AIOps et ChatOps viendront certainement révolutionner l’industrie dans les années à venir avec encore plus d’automatisation, permettant ainsi de garantir un meilleur contrôle des opérations. L’année 2023 ne sera que le point de départ de tous ces changements.
Ces tendances continueront de façonner la façon dont le DevOps est pratiqué. Elles aideront les organisations à mieux atteindre leurs objectifs, qu’ils soient financiers ou liés à un désir de fiabilité de leurs services et de leur sécurité.
Vous désirez mettre en place certaines approches xOPS présentées précédemment ? Explorez nos services ou contactez-nous pour en apprendre davantage sur notre approche stratégique. Gologic est une entreprise spécialisée dans le domaines du DevOps, qui accompagne depuis plus de 10 ans les organisations d’ici en transformation numérique.
Par Gologic en collaboration avec Alexandre Couëdelo.