Durchgängige DevSecOps-Prozesse Die neue Ära der Software-Fabrik

Ein Gastbeitrag von André M. Braun *

Anbieter zum Thema

Die Zeiten ändern sich: Während früher Design, Funktion und Emotion die Kaufentscheidung maßgeblich beeinflussten, sind heute digitalen Features gefragt. Vom autonomen Fahren bis hin zur Anzeige beim Zähneputzen – unser Alltag wird von entsprechender Software bestimmt.

Moderne Softwareentwicklung lässt sich mit einer vollständigen DevSecOps-Plattform abbilden, die eine Produktionsstraße nachbildet.
Moderne Softwareentwicklung lässt sich mit einer vollständigen DevSecOps-Plattform abbilden, die eine Produktionsstraße nachbildet.
(Bild: Gerd Altmann (geralt) / Pixabay)

Unternehmen wollen Features und Produkte gestalten, die bei den Kunden Anklang finden. Deshalb migrieren sie zunehmend von einer Entwicklungsumgebung mit mehreren Orchestrierungs-Tools und verketteten Konfigurationen zu ausgereifteren, schlankeren Plattformen. Diese können von Teams im gesamten Unternehmen oder von mandantenfähigen Teams effizient und effektiv genutzt werden. Allerdings ist dieser Weg nicht ohne Herausforderungen:

  • Die Unternehmen müssen aktiv auf die Notwendigkeit einer grundlegenden organisatorischen Transformation eingehen und nicht nur die technologische Automatisierung berücksichtigen.
  • Es gilt, richtungsweisende neue Prozesse, Technologien und Ansätze umzusetzen.
  • Kulturelle Vorbehalte in Hinblick auf Veränderungen müssen überwunden werden.
  • Die Mobilisierung von Teams für die organisierte Bereitstellung von Code ist notwendig.
  • Die Ressourcen für das gesamte funktionale Ökosystem der Nutzer müssen erweitert und bereitgestellt werden.
  • Es gilt, eine sichere DevOps-Infrastruktur und -Pipeline aufzubauen, auch wenn die Benutzer offline sind oder am Rande des Netzwerks (Edge) sitzen.
  • Die Sicherheit muss nach links verlagert (Shift Left) und in den Entwicklungsprozess integriert werden.
  • Wichtig ist auch die Verwaltung von rechtlichen und regulatorischen Kontrollen sowie von Compliance-Vorgaben für die Autorisierung bei gleichzeitiger Beschleunigung der Softwarebereitstellung.

Wie könnte ein Fahrplan für die digitale Transformation in Unternehmen aussehen? Natürlich gibt es kein allgemeingültiges Patentrezept. Vielmehr sollte jedes Unternehmen die einzelnen, nachfolgenden Schritte an seine spezifischen Bedürfnisse anpassen.

Eine ehrliche Bewertung vornehmen

Unternehmen sollten sich Hilfe holen, um zu ermitteln, wo sie aktuell stehen. Erst dann können sie die Strategie für ihr weiteres Vorgehen bestimmen. Je nach Reifegrad werden dann die Meilensteine auf dem Weg dorthin und die erforderlichen Maßnahmen für den Beginn der Reise festgelegt.

Einige Unternehmen versuchen sich selbst einzuschätzen; andere wiederum wenden sich an professionelle Organisationen wie DevOps Research and Assessment (DORA), die eine Bewertung des Reifegrades vornehmen können. Darüber hinaus wollen Unternehmen auch die Möglichkeit haben, ihren Fortschritt durch Leistungskennzahlen zu belegen. Dabei gilt es, Lösungen zur Messung ihres Durchsatzes, ihrer Wertströme und Arbeitsabläufe zu implementieren.

Änderung der Unternehmenskultur

Organisationen sollten ihre Kultur bewusst ändern. Es ist wichtig, allen Teams das Gefühl zu geben, dass sie auch scheitern dürfen, damit sie lernen können, dass Misserfolge tatsächlich auch Erfolge sein können. Es muss ein Kulturwandel angestoßen werden, der Experimentierfreude fördert.

Die Angestellten müssen befähigt werden, herauszufinden, wie sie am besten zueinander passen, welche Tools sie für die Unterstützung ihrer Teamziele einsetzen können und welche Kommunikationsstruktur am besten zu ihnen passt, um den für sie richtigen Weg zu finden. So lassen sich die Ziele in Hinblick auf Geschwindigkeit und Qualität besser erreichen.

Die Veränderung der Kultur ist ein ganz bewusstes und strategisches Vorhaben und erfordert einen Top-Down-Ansatz bei allen größeren Initiativen, die durchgeführt werden, um das Unternehmen voranzubringen. Daher sollten Unternehmen darauf achten, dass sie keine Zeit mit kleinen, isolierten Projekten verschwenden, die wenig bewirken.

Aufbau einer Softwarefabrik

Ein nächster Schritt wäre die Einrichtung einer integrierten, sofort einsatzbereiten, modernen Softwareentwicklungsfabrik. Gemeint ist ein Fließband in Form einer vollständigen DevSecOps-Plattform, die als eine einzige Anwendung bereitgestellt wird.

Dies kann ein effizienter, einfach zu verwaltender Weg sein, um Anwendungen zu erstellen, zu testen und bereitzustellen. Auch wird damit gegebenenfalls die Verschwendung und der Overhead reduziert, die mit der Verwaltung dutzender unterschiedlicher Tools und benutzerdefinierter Integrationen verbunden sind.

Eine integrierte Softwarefabrik kann auch eine sogenannte „Single Source of Truth“ darstellen, also eine einzige, zuverlässige Informationsquelle für die zentralisierte, asynchrone Zusammenarbeit über eine Vielzahl von Rollen hinweg. Dies kann auch der Schlüssel zur Einhaltung von Compliance-Vorschriften und zum Nachweis von Prüfpfaden sein.

Die konsolidierte, durchgängige Sicht auf die Codequalität und -sicherheit dieser Fabrik kann zudem Korrekturen während des Entwicklungsprozesses ermöglichen. Dies wiederum kann zu verbesserter Codequalität, einer schnelleren Auslieferung sowie zu geringeren Entwicklungsverzögerungen und pünktlicheren Releases aufgrund weniger Nacharbeit führen. Eine effektive Softwarefabrik verfügt tendenziell über eine zentrale Oberfläche, Einzelplatzmodelle sowie einem einzigen Datenmodell für den gesamten DevSecOps-Lebenszyklus.

Aufbau eines Ökosystems und Automatisierung

Unternehmen müssen ihr Ökosystem und ihre Automatisierung schrittweise ausbauen.

Sie sollten sich darüber im Klaren sein, über welche Richtlinien, Prozesse und Fähigkeiten ihr Unternehmen heute verfügt. Dann lässt sich die Automatisierung entsprechend dem Fortschritt dieser Fähigkeiten weiterentwickeln.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Während Unternehmen ihre DevOps-Pipelines aufbauen, sollten sie fest im Blick haben, welche Fähigkeiten sie genau ausbauen. Gleichzeitig gilt es sicherzustellen, dass das gesamte Unternehmen grundlegende, agile Prinzipien befolgt.

Die Unternehmen können beispielsweise durch den Einsatz eines konsistenten und zuverlässigen Konfigurationsmanagements von DevSecOps-Prozessen sowie agiler Prozesse an Reife gewinnen. Dadurch sind sie in der Lage, ihre Fähigkeiten schneller auszubauen und ihre Anwendungsbereitstellung entsprechend zu beschleunigen. Anschließend können sie die Automatisierung – unter Berücksichtigung der Richtlinien und Prozesse des Unternehmens sowie der Fähigkeiten ihres Teams – in kleineren Schritten einführen.

Asynchrone Zusammenarbeit ermöglichen

Arbeiten Teammitglieder geografisch von unterschiedlichen Standorten aus, über Zeitzonen hinweg oder am Rande des Netzwerks, dann können ihnen asynchrone Kollaborationswerkzeuge die Mitarbeit an Projekten erleichtern. Diese Tools gewährleisten, dass keine Engpässe entstehen, die normalerweise auftreten, wenn man auf Informationen oder auf die Code-Übergabe durch das DevSecOps Team wartet.

Sobald sie wieder online sind, können Code-Beiträge – vorausgesetzt, es gibt keine Komplikationen – einfach und schnell in die Pipeline integriert werden, um sie in die Produktionsumgebung zu überführen. Dies stellt idealerweise eine schnellere Wertschöpfung sicher. Das Team kann dann Funktionen zur Replikation von Repositories und Pipelines auf einer täglich gespiegelten High-Side-Umgebung offline nutzen, um die gleiche Arbeit asynchron zu ermöglichen, wofür sonst Internetzugang nötig wäre.

Bei der Kommunikation neue Wege gehen

Ferner müssen Unternehmen Technologien einführen, die eine zentralisierte Kommunikation und Zusammenarbeit in Echtzeit ermöglichen. Der aktive Abbau von Silos und die Abschaffung von sequenziellen und reibungsanfälligen Abläufen in den Bereichen Entwicklung, Operations und Sicherheit kann den Grundstein für eine bessere, schnellere und weniger mühsame Anwendungsbereitstellung legen.

Darüber hinaus ist es notwendig, sich auf die Kommunikationstechnologie zu konzentrieren: Unternehmen sollten nicht länger statische, ineffiziente E-Mails als primäres Kommunikationsmittel verwenden. Vielmehr sollten sie bestehende Technologien nutzen oder neue Technologien einführen, die eine auftragsbezogene Zusammenarbeit in Echtzeit ermöglichen. So lässt sich Silodenken besser überwinden.

Fazit

Der vielleicht wichtigste Aspekt der digitalen Modernisierung ist nicht die technologische Transformation selbst, sondern die Transformation der Unternehmenskultur. In der Tat ist dies wohl der grundlegendste Schritt, den Führungskräfte unternehmen können, um den angestrebten Kulturwandel dauerhaft zu etablieren.

Technologie und Automatisierung sind unverzichtbar – aber erst nach der Durchführung und Dokumentation von Prozessänderungen sowie deren sensibler und intelligenter Einführung und entsprechender Übernahme in den Alltag. Gleichzeitig wird ein Umfeld geschaffen, das die Unterstützung durch die Mitarbeiter im Unternehmen fördert und Anreize schafft.

André M. Braun
André M. Braun
(Bild: GitLab)

Eine technologische Umstrukturierung ohne kulturellen Wandel ist ein vergebliches Unterfangen: Es führt zu vergeudeten Investitionen, internem Widerstand, weiteren Störungen und letztlich zu einem Scheitern der langfristigen Adaptierung und Veränderung.

* Seit 2020 verantwortet André M. Braun als Area Sales Manager beim DevOps-Innovator GitLab das Großkundengeschäft in Deutschland, Österreich und der Schweiz. Zuvor hatte er in seiner über 30-jährigen IT-Karriere verschiedene Vertriebsleitungs- und Country-Direktoren-Positionen bei Herstellern wie Acer, EMC und Dell inne. Vor seinem Wechsel zu GitLab hat Braun das Hybrid-Cloud-Geschäft für NetApp im DACH-Markt aufgebaut und verantwortet. Er ist Sprecher auf verschiedenen IT-Events, beispielsweise der Vogel IT Cloud Native Conference.

(ID:48607523)