خوش آمدید به نسخه دوم از گزارش پیشرفت توسعه فنی که در آن ما عمیق تر به تیم #devsecops خواهیم پرداخت تا بیشتر به فن آوری در حال ساخت، بهینه سازی و راه اندازی شده پی ببرید.
من خیلی احساس هیجان دارم که از طریق این کانال با جامعه شگفت انگیز کلور در ارتباط هستم و سعی میکنم شما را درمورد کارهایی که در پشت صحنه انجام می گیرد بیشتر اشنا کنم.
تیم فنی کلورطی هفته گذشته عملکرد عالی و بهره وری بالایی را در کل تیم ها و محصولات حفظ کرد. اما امروز من کمی عمیق تر در مورد یکی از مهمترین تیم ها در کلورگزارش پیشرفت صحبت خواهم کرد: #DevSecOps.
قبل از اینکه در مورد گروه #devsecops صحبت کنیم ، اجازه دهید روشن کنم که در اینجا در کلور ، تیم فنی کامل ما در گروههایی متمرکز بر محصولات مختلف و همچنین اجزای فنی سازمان یافته است.
ما تیم های بی شماری داریم که به محصولات خاص اختصاص داده شده اند ، و گروه های دیگری متشکل از متخصصان فناوری در زمینه های مهندسی بلاکچین ، معماری امنیتی و برنامه نویسی رایانه هستند.
به عنوان مثال ، گروه صرافی کلور دارای متخصصانی متقابل مانند تضمین کیفیت و رابط کاربر است که علاوه بر مهندسین و متخصصان نرم افزار و برنامه نویسی بک اند ، فرانت اند، فول استک و همچنین مدیران محصولات است.
این تیم کاملا بر روی جمع آوری ارزش برای معاملات صرافی صرافی متمرکز بوده و از قدرت و منابع کامل برای دستیابی به اهداف خود برخوردار است.
ما همچنین #devsecops را داریم که کاملاً متمرکز بر توسعه فناوری زیرساخت و گسترش معماری نرم افزار مورد استفاده کل شرکت در کل برنامه ها و محصولات کلور است. ما این مدل را “squads of squads” می نامیم و این مدل خود كلوراست الهام گرفته شده از “Autonomous Squads” كه توسط Spotify ساخته شده است.
همه گروه ها ، از #HR تا #devsevops توسط مدیران با استفاده از روش چابک با دوزهای هفتگی یا دو هفتگی هدایت می شوند. کل شرکت مانند یک ساعت کار می کند و از روش چابک استفاده می کند تا محصولات را مطابق با نیازهای جامعه و تغییرات بازار حفظ کند.
بنابراین ، سرانجام اجازه دهید در مورد تیم #devsecops کلور صحبت کنیم. این گروه شگفت انگیز از متخصصان پرشور توسط متخصصان مختلط تشکیل شده است:
- متخصصان امنیت سایبری
- DevOps مهندسین
- مهندسین اعتبار سایت
متخصصان امنیت سایبری بر روی ایمن نگه داشتن همه سیستم ها و زیرساخت ها با نیازهای تجاری محصولات کلورمتمرکز شده اند. بنابراین آنها آزمایش های نفوذ مداوم و مکرر ، هک و تجزیه و تحلیل کد را انجام می دهند تا از ایمن بودن ما اطمینان حاصل کنند! یک قسمت اساسی از معماری امنیت سایبری ما و یک م مولفه مهم در حفظ امنیت کاربران جهانی ماست.
مهندسان DevOps در ترویج کد از مهندسان نرم افزار به تولید متمرکز شده اند. بنابراین آنها موظفند فرآیند و ابزارهای مورد نیاز برای ادغام کد با تضمین های تعریف شده توسط امنیت سایبر و مدیران محصولات براساس ارزشهای تجاری و نیازهای جمع آوری شده از سهامداران و اعضای جامعه را طراحی و اجرا کنند.
مهندسین اعتماد سایت در جمع آوری بهترین تجربه کاربر از نظر استفاده از فن آوری و زیرساخت ها متمرکز شده اند. بنابراین ، آنها مسئول این موارد هستند:
- حمله به زیرساخت ها به عنوان مهندسین نرم افزار
- در حال توسعه ابزارهای اتوماسیون برای واکنش به مسائل مشترک زیرساخت IT
- ساختن نرم افزار برای ایجاد فناوری اطلاعات و پشتیبانی بهتر در مشاغل خود
- رفع مشکلات تشدید پشتیبانی
- مستند سازی بهترین روش ها برای طراحی نرم افزار
- بهبود عملکرد نرم افزار و انجام بررسی های پس از حادثه.
بیایید ببینیم که تیم #devsecops چه کاری انجام داده است:
- تجزیه و تحلیل کد (SAST ، DAST و SCA): ما در حال آزمایش ابزارهای مختلفی هستیم (در حال حاضر 8 ابزار) و متوجه شدیم که Golang به اندازه زبانهای دیگر موجود در بازار مانند جاوا ، جاوا اسکریپت یا پایتون بالغ نیست و بیشتر ابزارهای پولی موجود در بازار مطابق انتظار کار نخواهد کرد. تکیه بر چندین OSS (سیستم های پشتیبانی عملیات) امیدوارکننده به نظر می رسد اما به عنوان یک سازمان به یک بستر مرکزی برای مدیریت موارد کشف شده توسط چنین راه حل هایی نیاز داریم ، Embold (https://embold.io) این تجربه دقیق را ارائه می دهد.
- تجزیه و تحلیل زیرساخت: برای این منظور ما فقط Palo Alto را آزمایش می کنیم و از نتایج اولیه بسیار راضی هستیم ، این ابزار ویژگی هایی مانند:
- اجرای سیاست: اطمینان حاصل از پیکربندی ها و بارهای ابری در تنظیماتی که توسط قوانین شناخته شده عمومی یا کاربر سفارشی ارائه شده اند ، در حال اجرا.
- اجرای مطابقت: اطمینان حاصل از تنظیمات و بارهای ابری در تنظیمات توسط تطابق و گواهینامه های شناخته شده عمومی مانند PCI-DSS ، LGPD ، GDPR و بسیاری موارد دیگر در حال اجرا.
- شیفت اپراتورهای On-Call: ما سیستم مانیتورینگ خود را با سیستم مدیریت مکالمه Squadcast (https://www.squadcast.com) ادغام کرده ایم و یک برنامه ساعات کاری غیر فعال را برای اپراتورها تنظیم کرده ایم تا برای حل مشکلات فنی در دسترس باشند و تعریف شده اند سیاست های تشدید کارآمدتر برای اطمینان از حل سریع هر حادثه.
- صفحه وضعیت بلاکچین ها: ما صفحات وضعیت مربوط به خدمات عمومی خود را که به طور خودکار ساخته شده است را در اختیار عموم قرار داده ایم تا با ذینفعان ، داخلی یا خارجی به اشتراک بگذاریم. (https://chain-status.klever.io)
- اعلان در مورد انتشار بلاکچین ها: برای اینکه بتوانیم گره های مدیریت شده در بلاکچین خود را به روز کنیم ابتدا یک منبع رویداد برای نسخه های جدید منتشر شده از این منابع ایجاد خواهیم کرد. ما در حال حاضر یک OSS را آزمایش می کنیم که هر زمان نسخه جدیدی به ما اطلاع داده شود.
- سرویس مدیریت تست لود صرافی:: برای اطمینان از اینکه پس از انتشار عمومی برنامه صرافی در گلوگاه ها تصادفی نخواهیم داشت ما در حال انجام آزمایشات بار روی سرویس های در معرض دید هستیم که به طور مستقیم توسط کاربران قابل دسترسی است و پیشرفت های توسعه دهندگان را می توان انجام داد برای اینکه بسیار مقیاس پذیر باشیم.
کلور DevSecOps
در اینجا پیشرفت هفتگی سایر محصولات و تیم های فنی کلور را مشاهده می کنید.
