AIO APEX
Developer Tools

Policy-as-Code دارد به بخشی از زنجیره ابزار توسعه‌دهندگان تبدیل می‌شود، نه فقط یک بازبینی امنیتی

اشتراک‌گذاری:
Policy-as-Code دارد به بخشی از زنجیره ابزار توسعه‌دهندگان تبدیل می‌شود، نه فقط یک بازبینی امنیتی

قبلاً خط‌مشی دیر به سراغ تیم‌ها می‌آمد. تیم یک سرویس طراحی می‌کرد، وابستگی‌ها را به هم وصل می‌کرد، تعاریف زیرساخت را ارسال می‌کرد و بعد تازه می‌فهمید که امنیت، انطباق یا قوانین پلتفرم اعتراض دارند. این الگو اصطکاک ایجاد می‌کرد نه به‌خاطر اینکه خط‌مشی لازم نبود، بلکه چون به‌عنوان یک بازبینی گذشته‌نگر روی کار در حال انجام ظاهر می‌شد. Policy-as-Code این وضعیت را تغییر می‌دهد؛ با انتقال قوانین به زنجیره ابزار توسعه‌دهنده در مراحل اولیه.

این تغییر مهم است چون توسعه‌دهندگان دیگر فقط خط‌مشی را به‌عنوان یک فرآیند تأیید جداگانه که توسط یک تیم حاکمیتی مدیریت می‌شود نمی‌بینند. آنها آن را درون قالب‌ها، pull requestها، CI/CD Pipelineها، قوانین ارتقای مصنوعات و چک‌های زنجیره تأمین نرم‌افزار تجربه می‌کنند. به زبان ساده، خط‌مشی دارد به بخشی از نحوه ساخت، تست و تحویل نرم‌افزار تبدیل می‌شود، نه فقط یک ممیزی پس از اتمام کار.

چرا خط‌مشی به سمت چپ حرکت کرد

دلایل متعددی پشت این اتفاق هم‌زمان وجود دارد. زیرساخت ابری قابل برنامه‌ریزی شده، بنابراین حاکمیت هم قابل برنامه‌ریزی است. تحویل نرم‌افزار سریع‌تر و خودکارتر شده و بازبینی دستی به یک گلوگاه تبدیل می‌شود. همچنین ریسک زنجیره تأمین از آسیب‌پذیری dependencyها گرفته تا مصنوعات بدون امضا و زیرساخت نادرست که از طریق خودکارسازی به محیط تولید می‌رسد، دیگر قابل چشم‌پوشی نیست. سازمان‌ها به کنترل‌هایی نیاز دارند که با سرعت ماشین و بدون منتظر ماندن برای جلسات کمیته عمل کنند.

Policy-as-Code روشی ارائه می‌دهد که انتظارات را به صورت کد درآورده و مدام ارزیابی کند. به جای اینکه بگوییم «کسی باید چک کند که آیا این S3 bucket عمومی است» یا «امنیت باید منبع base image را تأیید کند»، تیم‌ها می‌توانند این الزامات را به قوانینی تبدیل کنند که خودکار اجرا شوند. نکته فقط اجرا نیست؛ یکپارچگی است. ماشین‌ها در اعمال یک قانون یکسان در همه جا و هر بار، بهتر از انسان عمل می‌کنند.

CI/CD حالا یک سطح خط‌مشی است

قابل‌ترین تغییر برای توسعه‌دهندگان این است که CI/CD به محل اصلی اجرای خط‌مشی تبدیل شده. مانیفست‌های زیرساخت، تعاریف Kubernetes، ماژول‌های Terraform، Workflowهای GitHub Actions، کانتینرها و مصنوعات انتشار، همگی قبل از حرکت قابل چک هستند. این از تحلیل استاتیک سنتی فراتر می‌رود. موتورهای Policy می‌توانند ارزیابی کنند که یک استقرار از رجیستری‌های مجاز استفاده می‌کند یا خیر، یک سرویس متادیتای لازم را اعلام کرده یا نه، مدیریت secrets طبق استانداردهای پلتفرم هست یا نه، و یک مصنوعات در محیط‌های مختلف مجاز به ارتقا هست یا نه.

این تجربه توسعه‌دهنده را دو جور تغییر می‌دهد. اول، خطاها زودتر ظاهر می‌شوند، اغلب در pull requestها یا چک‌های قبل از merge، که تعمیرشان ارزان‌تر است. دوم، کیفیت بازخورد خط‌مشی تبدیل به یک مسئله محصول می‌شود. یک پیام رد مبهم از موتور Policy فقط نسخه سریع‌تری از یک ایمیل انطباق بی‌فایده است. تیم‌هایی که Policy-as-Code را جدی می‌گیرند دارند یاد می‌گیرند که طراحی قانون، راهنمایی رفع مشکل و استثناها به اندازه وجود خود قانون اهمیت دارند.

قالب‌ها و مسیرهای طلایی بار اصلی را به دوش می‌کشند

دلیل دیگر اینکه خط‌مشی برای مهندسی طبیعی‌تر حس می‌شود این است که حالا حتی قبل از نوشتن کد ظاهر می‌شود. تیم‌های پلتفرم انتظارات را در قالب‌های سرویس، scaffolders، تصاویر پایه، پورتال‌های داخلی توسعه‌دهنده و کاتالوگ‌های ماژول مجاز جاسازی می‌کنند. این رویکرد متفاوت از چک کردن واکنشی صرف است. به جای اینکه فقط پیکربندی‌های بد را بلاک کند، پلتفرم نقاط شروع از پیش تأیید شده‌ای ارائه می‌دهد که قبلاً بسیاری از الزامات خط‌مشی را برآورده کرده‌اند.

وقتی خوب انجام شود، همه سود می‌برند. توسعه‌دهندگان سریع‌تر حرکت می‌کنند چون از یک جاده آسفالت شروع می‌کنند. تیم‌های امنیت و انطباق یک پایه انطباق‌یافته بالاتر دارند. مهندسان پلتفرم از دُم بلند پیکربندی‌های سفارشی که پشتیبانی از آنها گران است کم می‌کنند. در این مدل، Policy-as-Code فقط یک دروازه نیست؛ بلکه یک ورودی طراحی برای خود پلتفرم داخلی هم هست.

معنای عملی این است که دانش خط‌مشی در حال توزیع مجدد است. توسعه‌دهندگان نیازی نیست متخصص تمام‌وقت خط‌مشی شوند، اما باید معنی عملی قوانینی که روی ایجاد سرویس، استقرار و انتخاب dependencyها تأثیر می‌گذارد را بفهمند. از طرف دیگر، تیم‌های پلتفرم باید مثل تیم‌های محصول فکر کنند: بهترین خط‌مشی اغلب همانی است که در مسیر پیش‌فرض کدگذاری شده و توسعه‌دهنده چون روان کار می‌کند، به زحمت متوجه آن می‌شود.

کنترل‌های زنجیره تأمین خط‌مشی را اجتناب‌ناپذیر کرد

نگرانی‌های زنجیره تأمین نرم‌افزار همه اینها را تسریع کرد. منبع‌یابی، امضا، تولید SBOM، ریسک dependencyها، سیستم‌های ساخت معتمد و یکپارچگی مصنوعات با صفحه‌گسترده و صف تیکت قابل مدیریت نیستند. آنها در همان نقاطی که کد به باینری، کانتینر، بسته یا بسته استقرار تبدیل می‌شود به خودکارسازی نیاز دارند. دقیقاً همان جایی که Policy-as-Code جا می‌گیرد.

مثلاً یک سازمان ممکن است الزام کند تصاویر توسط CI/CD runnerهای تأیید شده ساخته شوند، قبل از انتشار امضا شوند و فقط در صورت داشتن attestation از مراحل خاص ارتقا یابند. یک بسته ممکن است اگر از رجیستری غیرمعتمد آمده باشد یا متادیتای قابل قبول نداشته باشد، بلاک شود. یک استقرار ممکن است اگر به digest تصویری ارجاع دهد که به یک ساخت تأیید شده متصل نیست، شکست بخورد. اینها تصمیمات خط‌مشی هستند، اما داخل گردش کار توسعه‌دهنده زندگی می‌کنند چون مدرک آنجا وجود دارد.

این داستان پلتفرم مهندسی هم هست

وسوسه‌انگیز است Policy-as-Code را یک روند امنیتی توصیف کنیم، اما این باعث می‌شود خانه واقعی آن کم‌اهمیت جلوه کند. بخش زیادی از اهرم بلندمدت در پلتفرم مهندسی قرار دارد. پلتفرم‌های داخلی رابط‌هایی را که توسعه‌دهندگان استفاده می‌کنند، پیش‌فرض‌هایی که به ارث می‌برند و لایه‌های خودکارسازی که استانداردهای سازمانی را به رفتار عادی گردش کار تبدیل می‌کنند، تعریف می‌کنند. یک پلتفرم که مسیر طلایی منطبق را ارائه دهد می‌تواند خط‌مشی را تقریباً نامرئی کند. یک پلتفرم پراکنده هر قانونی را تنبیه‌آمیز جلوه می‌دهد.

به همین دلیل است بسیاری از تیم‌ها به مدلی نزدیک می‌شوند که در آن امنیت برخی خط‌مشی‌ها را می‌نویسد، مهندسان پلتفرم آنها را عملیاتی می‌کنند و توسعه‌دهندگان از طریق ابزارها آنها را تجربه می‌کنند، نه از طریق مستندات. انتخاب فنی موتور Policy مهم است، اما مدل عملیاتی اطراف آن مهم‌تر است. اگر خط‌مشی در ریپویی زندگی کند که کسی به آن اعتماد ندارد، بیلد را به دلایل مرموز خراب کند و مالک مشخصی نداشته باشد، توسعه‌دهنده دور آن می‌زند. اگر نسخه‌بندی، تست، قابل بازبینی و هماهنگ با قالب‌ها و سیستم‌های استقرار باشد، تبدیل به بخشی از مهندسی عادی می‌شود.

توسعه‌دهندگان چه انتظاری داشته باشند

توسعه‌دهندگان باید انتظار داشته باشند چک‌های خط‌مشی بیشتری آگاه از زمینه شوند و کمتر از ابزارهای روزانه‌شان جدا به نظر برسند. نکات IDE، اعتبارسنجی pre-commit، نظرات pull request، قوانین ارتقای محیط و مدیریت استثنای API-driven همگی محتمل است که رشد کنند. تیم‌ها همچنین دقیق‌تر می‌شوند که کجا اجرای سختگیرانه لازم است و کجا بازخورد مشاوره‌ای کافی است. برنامه‌های بالغ بین guardrail، هشدار و توقف سخت تمایز قائل می‌شوند.

درس کلی ساده است. Policy-as-Code فقط حاکمیت دیجیتالی شده نیست. دارد به بخشی از بافت تحویل نرم‌افزار تبدیل می‌شود. این می‌تواند وقتی قوانین ناپخته هستند آزاردهنده باشد، اما همچنین می‌تواند شگفتی‌های دیرهنگام را حذف کند، کار بازبینی تکراری را کم کند و پیش‌فرض‌های امن را راحت‌تر از بداهه‌پردازی ناامن کند. برای توسعه‌دهندگان، تنظیم واقعی به اندازه فنی فرهنگی است: خط‌مشی به طور فزاینده‌ای چیزی است که با آن می‌سازید، نه چیزی که بعد از ساخت منتظر شنیدنش هستید.

platform-engineeringdeveloper-experiencesoftware-supply-chainPolicy-as-CodeCI/CD
اشتراک‌گذاری:
Policy-as-Code و ورود آن به ابزارهای توسعه | AIO APEX