كيفية تحقيق نهج DevSecOps بنجاح

يُعد دمج الأمن ضمن دورة حياة تطوير النظام أمرًا هامًا، ولكنه لا يكون دومًا أمرًا سهلًا، ويُعَد اتباع نهج DevOps ضمن أية مؤسسة أمرًا هامًا لأنه يساعد المؤسسة في تحسين سرعة تطوير واختبار وتركيب البرمجيات التي تعمل على تطويرها لتصبح جاهزةً للعمل. توجد العديد من التجارب الناجحة المتعلّقة بتطبيق نهج DevOps ضمن المؤسسات، حيث أصبحت هذه المؤسسات تقدّم أفكارًا مبتكرةً وقادرةً على تسليم منتجاتها البرمجية بصورة رشيقة دون مشاكل، إلا أنّ بعض التجارب لاتباع هذا النهج قد انتهت بالفشل الذريع، فقد سببت عددًا كبيرًا من المشاكل يفوق الفوائد الناتجة عن نجاحها.

توجد العديد من العوامل التي قد تسبب فشل اتباع نهج DevOps ضمن مؤسسة ما، وأهم هذه العوامل هو الأمن. يُعَد غياب ثقافة الأمن في المؤسسة أمرًا خطيرًا، وغالبًا ما يحدث ذلك عندما لا تهتم المؤسسة بمسائل الأمن حتى نهاية مرحلة تبني سياسة DevOps، مما قد يسبب تطبيق الإجراءات الأمنية المتبعة في المؤسسة بطريقة تتسبب في تأخير المشروع من جهة، كما تساهم في إحباط فريق التطوير والعديد من المشاكل المالية التي يمكن أن تضر بالمشروع كثيرًا.

لحل هذه المشاكل وُضِع نهج DevSecOps، حيث أنّ غايته الأساسية هي تأكيد فكرة أن الجميع في الفريق مسؤولون عن أمن المشروع، بحيث يكون التفكير بالقضايا المتعلقة بالأمن في كل مراحل حياة المشروع.

إجرائية DevSecOps

يبين الشكل 1 الآلية التي كانت متّبعةً في تطبيق مفاهيم الأمن ضمن عملية التطوير قبل ظهور نهجي DevOps و DevSecOps، فمن الواضح أن التفكير بالأمن لم يكن من أولويات فريق التطوير لأنّه يحدث في المراحل النهائية، أي عند البدء بتسليم المشروع، أينما تكون البرمجيات قد قُبِلت للدخول في مرحلة الإنتاج Production.

Michael Calizo

يمكن تبعًا للإجراءات المتّبعة ضمن المؤسسة أن يحدث في بعض الأحيان تجاوزُ للمراجعات الخاصة بالأمن أثناء قبول المشروع، وعندها يمكن عدّ هذه المراجعة على أنها فقط شكل من أشكال التدقيق، وذلك من أجل ضمان عدم تأخير المشروع.

Michael Calizo, CC BY-SA 4.0

يعدّ الهدف الأساسي من اتباع نهج DevSecOps هو دمج الأمن بكل من عملية التطوير وعملية التشغيل، وذلك لضمان عدم إغفال أي من متطلبات الأمن أو خصوصية المعطيات، لذا ينصح الخبراء بأن يغير المطورون طريقة عملهم وسلوكهم وثقافتهم باكرًا. لا تُعَد هذه المهمة سهلةً خصوصًا في البيئات الضخمة، ويُعَد المبدأ الرئيسي لنهج DevSecOps هو بناء ثقافة الأمن في عمليتي التطوير والتشغيل، مما يجعلها أكثر رشاقةً ومرونة، ويجب أن يعمل المطورين بحيث يصبح الأمن والتوافقية متاحةً من قِبل الأجزاء البرمجية لكي تُستهلَك وكأنها خدمة.

يعمل نهج DevSecOps على تضمين الأمن ضمن دورة حياة تطوير النظام ويُعاد تطوير المفاهيم الخاصة بالأمن مع كل دورة من دورات تطوير المنتج

Michael Calizo, CC BY-SA 4.0

عوائق تبني نهج DevSecOps

يعمل الناس بطبيعتهم على محاربة التغيير، بحيث يميلون إلى إيجاد العيوب والأخطاء في العملية الجديدة التي ستُتبنّى. بطبيعة الحال لا يمكن تغيير ذلك لأنها من الطبيعة البشرية، إذ يفضّل البشر دومًا اتباع عادةٍ ما عوضًا عن إجراء التغيير المستمر؛ أما أهم العوائق التي تواجه تبنّي نهج DevSecOps فهي:

استخدام عملية DevOps أو DevSecOps من مزود خارجي: يعني ذلك أنّ المفاهيم والعمليات المستخدمة تدور حول منتج ما يقدّمه المزود الخارجي ولن تستطيع المؤسسة لبناء المقاربة لأنها محدودة بما يقدمه المزود.
توتر المدراء: يعاني المدراء من التخوف المستمر وخصوصًا عند تبني أي تقنية أو نهج جديد، بحيث يؤثر هذا الخوف والتوتر على قدرة المدير على اتخاذ القرار الصحيح.
تجنّب محاولة إصلاح أي شيء ليس معطّلًا بالكامل: يميل معظم مدراء تقنيات المعلومات إلى تجنّب إجراء أية تغييرات في الخدمات التي تعمل حتى ولو وُجدت فيها عدة مشاكل طالما أن بعض نتائجها صحيحة. وفي بعض الأحيان، حتى مع نجاح النهج الجديد يميل مدراء تقنيات المعلومات إلى المحافظة على المنتج القديم والإجراءات التي أنتجته.
تأثير نتفليكس Netflix وأوبر Uber: نجحت كل من شركتي نتفليكس ةأوبر بتطبيق نهج DevSecOps بنجاح، وتعمل العديد من الشركات على تقليدهم، ومع ذلك تفشل معظم هذه الشركات بسبب الاختلاف بين ثقافة هذه الشركات وثقافة بقية الشركات.
قلة القياس: يجب أن تتم عملية قياس التحول ضمن المؤسسة أثناء تنبي نهج DevOps أو DevOpsSec، فهي من أهم المقاييس التي ينظُر إليها الأداء في عملية تسليم البرمجية أو الأداء العام للمؤسسة.
الأمن المقاس بقوائم التحقق: يتبع فريق الأمن ما يعرف بقائمة التحقق، وهي تتضمن الخطوات التقليدية ذاتها في كل مرة. وانطلاقًا من ذلك ظهرت مقاربة "as code"، والتي تتطلب أن يتعلّم مختصو الأمن البرمجة وأن يتجنبوا الطرائق التقليدية لتطبيق الأمن ضمن المؤسسة.
اعتبار فريق الأمن كفريق خاص: تظهر هذه المشكلة عندما يكون فريق الأمن مفصولًا عن فريق التطوير والتشغيل، مما يدفعهم إلى صرف الكثير من وقت فريق أمن المعلومات في مراجعة ومحاولة تحسين عمل الفريقين عوضًا عن تواجدهم إلى جانبهم أثناء عملية التطوير.

كيفية تبني نهج DevSecOps بنجاح

يُعَد تبني نهج DevSecOps أمرًا صعبًا، ولكن نظرًا للفوائد الكبيرة، يمكن العمل على تجنب العوائق التي أصبحت معروفةً جيدًا، وتُعَد ثقافة الأمن العائق الأكبر، فلكي تنجح هذه الثقافة ضمن المؤسسة يجب أن يكون تبنيها من أعلى هرم المؤسسة، ومن ثم تعميم هذه الثقافة على الموظفين.

يفيد وجود القادة وبعض المتحمسين للنهج الجديد؛ في تسريع عملية تبني الثقافة الجديدة ضمن المؤسسة، حيث يجب تضمين فرق التطوير والتشغيل والأمن بعضًا من هؤلاء الأشخاص ليكونوا مناصرين للنهج الجديد، مما يؤسِّس لظهور فرق متعددة الوظائف تتشارك فيما بينها الخبرة والنجاحات مع بقية الفرق، مما يسرّع عملية تبني النهج الجديد. تحتاج المؤسسة بعد نجاح هذه الخطوة إلى وجود حالة استخدام للنهج الجديد للبدء بها، ولا داعي لكي تكون كبيرةً أو تتضمن الكثير من المخاطرة، بل يجب أن تكون مضمونة النجاح، إذ يفيد ذلك في دفع الفريق إلى التعلم والفشل ومن ثم النجاح دون تأثير وظائف النظام الجوهرية.

يجب أن يكون تبني النهج الجديد قابلًا للقياس، كما يجب الاتفاق على تعريف النجاح ضمن المشروع. ولتحقيق كل ما سبق يجب أن تتوفر لوحة إظهار تعرض القيم التي تُعَد مقاييس يجب مراقبتها وهي:

مهلة التغيير.
وتيرة تركيب النظام.
الزمن الوسطي للاستعادة.
معدل فشل التغييرات.

تُعَد هذه المعايير أساسيةً عند التعرف على عملية ما ومحاولة تحديد جوانبها التي تحتاج تحسينًا. تسمى هذه المنهجية بالتحول المقاد بالأحداث Event-Driven Transformation، وتفيد في تحديد ما إذا كانت عملية تبني النهج الجديد ناجحةً أم فاشلة.

الاستنتاجات

يسمح تبني نهج DevOps - عندما يُتبنّى بطريقة صحيحة - للمؤسسة بتسليم المنتجات البرمجية بسرعة عالية، مما يُكسبها العديد من المزايا موازنةً بمنافسيها، حيث يحتاج تبني نهج DevOps وDevSecOps ما يأتي: