DevOps-Community
Mehr Verantwortung für den Gesamtprozess: DevOps bei Accso
Software-Applikationen erfolgreich zu entwickeln und zu betreiben ist ein anspruchsvoller Prozess mit vielen Aspekten. In unserer Community beleuchten wir die acht einzelnen Teilprozesse von DevOps – von Planning bis Monitoring. Unser Ziel ist es, eine Tool-Box bereitzustellen, mit der Projekte in frühen Phasen schnell loslaufen können. Dazu gehört auch die Analyse und Bewertung von einschlägigen Produkten und die Bereitstellung von Blue-Prints.
Unsere Themen und Projekte
Bei Accso ist GitLab eines der wichtigsten Tools für die Teilprozesse Build, Test und Deploy. Aber wie verwendet man es optimal? Welche Features sind zu empfehlen, welche eher nicht? Und wie verwendet man GitLab zum Beispiel für Projekte aus dem .NET Bereich?
Wir haben GibLab-Pipelines zu unserem aktuellen Fokusprojekt gemacht und arbeiten zusammen in der Community an einer exemplarischen Umsetzung eines kompletten CI/CD-Prozesses für den Bau einer .NET-Applikation. Dabei decken wir auch Aspekte wie die Prüfung auf Sicherheitslücken – statisch über OWASP, dynamisch über ZAP – ab.
Schulungen sind ein zentraler Bestandteil unserer Arbeit, weshalb wir gemeinsamen zwei interne Weiterbildungen konzipiert haben.
Zum einen gibt es eine Schulung als Einführung zu DevOps, die auch die nicht-technischen Aspekte wie zum Beispiel die optimale Teamstruktur abdeckt. In ihr lernen unsere Accsonaut:innen das Mind-Set von DevOps und alles, worauf man bei der Software-Entwicklung noch achten muss, damit es beim Betrieb keine bösen Überraschungen gibt.
Zum anderen gibt es eine Fortgeschrittenenschulung über Docker. Seit Jahren ist Docker ein zentraler Bestandteil einer modernen Betriebsumgebung und alle Entwickler:innen können inzwischen das Einmaleins im Umgang. Aber wie ist es mit anspruchsvollen Themen, wie zum Beispiel Debugging von Images, den kniffligen Unterschieden zwischen Command und Entrypoint, der Einschränkung von Berechtigungen über Capabilities oder das Scannen von Images auf Sicherheitslücken? Alles das und noch vieles mehr deckt unser Praktikum ab!
Ein wesentlicher Aspekt einer Build-Pipeline ist das Scannen der Software auf mögliche Sicherheitslücken. Während es auf technischer Ebene einen ganzen Zoo an Scan-Werkzeugen gibt, sind diese auf der Prozessebene nur spärlich vorhanden. Was braucht man für einen nachhaltigen Prozess für den Entwickler (oder die Architektin), damit über die Releases hinweg mögliche Bedrohungen verwaltet werden können?
Das ursprünglich als Praktikumsarbeit erstellte Tool AccScan dient als Testbed für unsere Arbeit mit dynamischen und statischen Bedrohungen. Es ist auch Bestandteil eines Übungsblocks in der Accso Vorlesung “Software-Integrationsprojekt” an der Hochschule Bonn Rhein Sieg. Es wird derzeit weiterentwickelt, damit die Einstufung einer Bedrohung über die Kriterien der CVSS 3.1 sauber dokumentiert werden können.
Deep Dive DevOps
DevOps
Erfahre von Community-Leiter Marcus, wie der DevOps-Ansatz dabei helfen kann, Entwicklung und Betrieb optimal zu integrieren.
