随着各行业数字化进程的推进,企业也逐渐对敏捷的需求也越来越大,而敏捷的需求也不仅仅局限于IT架构之上,企业对于软件开发部署的敏捷性需求亦是愈发旺盛。当下,我们进入了一个“唯快不破”的新时代。
在这个时代中,很多企业都希望可以通过敏捷式创新,快速看到业务转型的成果。在此背景下,DevOps 逐渐成为核心业务增速的驱动力,企业不仅要利用其实现自动化,还要帮助开发者加快软件交付的速度,并确保安全性。
在当前的数字化时代,开发运维一体化(DevOps)已经成为了企业追求持续交付、快速响应市场变化的重要手段。作为一种集开发(Development)和运维(Operations)于一体的软件交付方法,DevOps强调团队之间的协作、文化的融合以及技术的实践。
根据2023年DevOps Report中的数据显示,全球范围内已经有超过80%的企业正在采用DevOps。这表明DevOps已经成为软件开发行业的标配,企业希望通过实施DevOps来提升软件交付的速度和质量。
而DevOps也确实帮助企业实现了快速交付的目的,据2023年DevOps Report中的数据显示,采用DevOps的企业中,有超过90%的企业表示CI/CD帮助他们减少了交付周期。同时,这些企业中有70%的企业表示CI/CD提高了软件质量。这表明,DevOps的实施可以显著提升企业的软件交付速度和质量,从而更好地满足客户需求和市场变化。
除此之外,DevOps还可以帮助企业实现“降本增效”的目标。基于DevOps强调开发与运维协作特性,通过自动化工具和流程,可以降低运维成本和提高效率。根据调查数据显示,采用DevOps的企业中,有超过80%的企业表示DevOps帮助他们降低了运维成本。同时,这些企业中有70%的企业表示DevOps提高了运维效率。这表明,DevOps的实施可以帮助企业降低运维成本和提高效率,从而更好地控制成本并提高企业的竞争力。
而IDC DevOps与DevSecOps研究副总裁Jim Mercer也曾表示:“IDC最新关于DevOps的调研《DevOps实践、工具和认知调查》显示,平台正被更广泛地用于提高生产力、安全性和协作性。此外,随着企业持续进行左移,更多工作将交给开发人员和DevOps团队,他们可以通过为DevOps和平台工程师提供一个能够简化开发和安全流程的集成平台来加速这一转变,从而帮助企业进行可信软件的交付。”
DevOps平台在不同行业的发展现状也不尽相同,JFrog大中华区总经理董任远对钛媒体表示,基于JFrog的现有客户,金融行业是对DevOps平台需求最大的一个行业,“因为本身银行业关注的是安全、高可用和‘两地三中心’,而且业务是绝对不能中断的,绝对不能有宕机的行为。而DevOps平台可以很好地满足金融行业用户的这些需求,所以现阶段,金融行业对DevOps平台的需求最大。”董任远指出。
与此同时,董任远还表示,从发展上看,汽车行业将是DevOps平台下一个应用规模爆发式增长的行业,“汽车行业和金融行业比较类似,尤其是中国现在新能源车技术的快速良好发展,涌现了很多新能源品牌,且这些车企基本都走向国外,进一步发展。我们的车企如果要出口到欧盟的时候,欧盟需要中国所有的车厂提供软件物料清单(SBOM),而DevOps平台能够通过扫描所有的代码一键式生成软件物料清单,生成的软件物料清单直接可以交给欧盟进行审查。”董任远强调。
从上述两个DevOps平台应用广泛的行业不难看出,对DevOps平台需求大的用户,对于安全的重视程度也极高。当然,在这个数据已经成为企业重要资产的时代,安全已经成为了一切的前提。
近几年随着开源软件的使用不断增加,针对开源软件的攻击也开始激增,企业的开发者们也遇到了很多新的挑战。比如针对NPM的CVE漏洞,每年每月都在逐年增加CVE(开源组件的漏洞信息)的数量,针对NPM恶意软件包攻击数量每个月都在增长,针对NPM恶意包的报告基本在2023年上半年达到超过6000个攻击。
随着软件系统的日益复杂和数据的重要性不断提升,安全性和可靠性已经成为企业数字化转型中的重要关注点。DevOps的实施可以帮助企业加强代码的安全性审查和系统的安全性防护,确保软件系统的安全性和可靠性。同时,DevOps还可以通过自动化工具和流程来减少人为错误和失误,提高软件系统的稳定性和可用性。
在JFrog中国技术总监王青看来,从2022年开始,企业的CIO们就开始关注如何将DevOps和安全组件融合起来,“很多企业买了很多安全扫描工具,但安全人员发现这些安全扫描工具无法和DevOps流程结合起来,甚至安全工具的扫描阻止了DevOps流程的快速发布,这是一对矛盾体。怎样让这两个团队结合起来更好的协同,是目前各大行业、公司、大型企业面临的很大的挑战。”王青如是说。
值得注意的是,看到了市场需求的JFrog在前不久发布了很多新功能和新产品,这些产品主要围绕解决了企业“安全左移”等一系列问题。而在王青看来,支持开发者在流水线扫描,实现“安全左移”也是未来DevOps平台和安全组件融合的一大趋势。王青也提出了自己对于当下企业“安全左移”之所以做的不好的一些认知,他表示,安全左移的表现形式是开发者可以随意下载第三方软件。在这种情况下,企业CIO或安全的领导很难进行安全管控,如果进行安全管控,该企业的开源组件需要的人工审批将极大的阻止他们的人的交付的进度。“所以,这几点是传统安全左移移不动的一个原因,因为他们缺少一个基于制品库的安全自动阻断的能力。”王青强调。
与此同时,在王青看来,未来,安全扫描在制品库层面进行是大趋势,他指出,“传统扫描工具需要把包通过邮件或者FDB的方式发送,拷贝到扫描服务器上进行扫描,这种模式下会出现‘烟囱’问题——DevOps信息和安全信息是两个烟囱。”
“在JFrog平台里,制品的DevOps信息和安全信息是聚合的,是一个整体,由此,对传统的漏洞扫描工具是一个‘降维打击’。”王青对钛媒体表示,“我们在最左移的情况下阻止漏洞的使用,可以在远程仓库进行阻断的,目前仅有JFrog能够实现的功能。”
展望未来,DevOps将更加注重安全性,包括对代码的安全性进行严格审查、加强系统的安全性防护等。同时,可靠性也将成为DevOps的重要考核指标,以确保软件系统的稳定性和可用性。
实现了安全,接下来就是如何提升DevOps平台的能力,让用户有个更好的体验。今年火爆的大模型的,打着“重构所有行业”的大旗,近乎席卷了全行业,对于DevOps领域,大模型也有很大的发挥空间。
在王青看来,大模型可以帮助CI/CD自动化“更上一层楼”,“因为它的部署方式一旦建立标准化之后,模型可以自动生成对应的代码脚本。”王青解释道。
与此同时,随着越来越多的AI和机器学习模型的涌现,也需要一个具备集成能力的平台帮助AI真正落地。IDC 研究表明,包括软件、硬件和服务在内的全球AI(人工智能)/ML(机器学习)市场预计将在2023年增长19.6%,超过5000亿美元。然而,随着越来越多的ML模型投入生产,最终用户往往面临着成本、缺乏自动化、缺乏专业知识以及扩展能力等方面的挑战。
“将ML模型从头到尾部署到生产中需要耗费大量时间和精力。即使投入生产,用户也会面临模型性能、模型漂移和偏差等挑战。”Jim Mercer指出,“因此,拥有一个单一的记录系统,帮助实现ML模型的自动开发、持续管理和安全性,所有其他组件打包到应用程序中,这样就能够为优化流程提供一个令人信服的替代方案。”
为了解决这些需求,JFrog看到了新的赛道,董任远表示,JFrog平台中的全新ML模型管理功能使AI交付与企业现有的DevOps和DevSecOps实践保持一致,从而加速、保护和管理ML组件的发布。
钛媒体注意到,除了JFrog以外,诸如VMware、亚信科技、嘉为蓝鲸等众多国内外服务供应商也都在不断推出DevOps平台新的迭代,推进DevOps发展,以虚拟化领域的龙头VMware为例,据悉,VMware正在用全新的下一代超越DevOps理念与方式进行管理,发布平台即产品的管理方法,将IT系统通过平台理念进行建设,并进行相应的推广。
从行业出发,今年7月,国内DevOps领域首个国家标准——《系统与软件工程开发运维一体化能力成熟度模型》也正式发布。据悉,该标准将为后续国内各组织推动DevOps开发运维一体化交付模式和建立对应能力评估体系,提供重要的标准依据。
无论是企业,还是行业角度出发,DevOps已经成为目前企业软件开发的重要选择之一。
DevOps基于其提升软件交付速度和质量、降低运维成本和提高效率、促进团队协作、增强安全性和可靠性以及实现敏捷和灵活的响应等能力和特性,也将在未来企业数字化过程中起到重要作用。企业积极推进DevOps的实施和应用,也有助于适应快速变化的市场环境和技术趋势,提升企业的竞争力和创新能力。而DevOps与大模型的相互促进发展,也将实现“双赢”的局面。
(本文首发于钛媒体APP,作者|张申宇)
领取专属 10元无门槛券
私享最新 技术干货