Note : 7 ; Découvrir le DevSecOps et la gouvernance automatisée

Le Devops et les chaines CI/CD, on commence à bien connaitre. Mais le DevSecOps, est-ce que cela consiste uniquement à introduire des outils d’audit dans le pipeline CI/CD ? On commence à s’en douter, la réponse est : non. C’est dans une aventure à la découverte de ces concepts à laquelle les auteurs nous invitent. Et d’une aventure, c’est bien ce dont il est question, car ce livre est une nouvelle !

Le livret ne paie pas de mine, on le qualifierait presque de livret, tellement il est peu épais et de format réduit (sans être un format poche). Le texte principal compte 128 pages, mais la dizaine de pages des annexes n’est pas à négliger. Le narratif est bien rythmé avec 13 chapitres, tous très courts. Le premier va simplement planter le décours, celui ou Investment Illimited va faire face à une « MRIA ».

Le second chapitre nous permet de mieux appréhender les mécanismes de réponses et surtout le rôle de l’audit au sein d’une gouvernance sécurité, mais le DevSecOps se fait attendre ! C’est le chapitre 3 qui commence à nous éclairer sur les attentes de ce côté-là : accès à la production, « glass breaking » ou séparation des devoirs (ce qui semble de prime abord aller à l’encontre du devops). Mais l’évolution du Devops vers le DevSecOps reste encore à définir. Le chapitre 4 nous introduit un nouveau personnage, Jason, qui va commencer à en dessiner les contours.

Le chapitre 5 voit la naissance du Kraken team dont la première tâche va être de définir les attentes du pipeline DevSecOps et l’on commence à y définir l’architecture cible du pipeline. Si celle-ci intègre les « quality gates » et le contrôle de certaines règles, cela reste pour l’instant très proche du pipeline classique. C’est au chapitre 6 que l’on commence à évoquer la gouvernance automatisée, qui est l’un des points d’orgue de l’ouvrage. C’est le chapitre 7 qui va se charger de développer le concept d’attestation automatisée qui est au centre de cette gouvernance. Un beau morceau, assurément !
Il y a plus au chapitre 8 avec les « 3 lignes de défense ». C’est probablement un des points forts de l’ouvrage de bien articuler ensemble la gouvernance, l’organisation qui va avec et l’aspect industrialisation couvert par le DevSecOps ! Le chapitre 9 nous introduit dans le dédale des dépendances transitives et de la question de dépendre de tierces parties qui n’assurent pas le niveau de sécurité requis. Mais la réponse n’est pas encore là. C’est le chapitre 10 qui va nous introduire de nouvelles pièces maitresses, nouvelles incarnations du SBOM qui font paraitre la vénérable CMDB comme un outil d’un temps ancien pré-devops ! Dommage qu’il ne rentre pas d’avantage en profondeur dans le Dependency Track de l’OWASP qui est mentionné !

Le chapitre 11 surfe sur cette notion de SBOM automatisé en nous montrant la big picture de cette nouvelle incarnation de la CI/CD. Il introduit une nouvelle notion, le « badge », un nouveau concept pour étayer encore cette gouvernance automatisée et vient en prime donner un grand coup de vieux au CAB (change advisory board). Cela ne peut que me faire plaisir. Le propos du chapitre 12 est moins palpitant, bien qu’il représente une réalité des entreprises : comment onboarder les (trop) nombreux projets sur le pipeline. La réponse réside ici dans une stratégie hybride qui montre que le réalisme n’est pas toujours d’être au niveau de l’état de l’art partout… Enfin, le chapitre nous donne un peu de hauteur en énonçant les 3 « guiding principles » du DevSecOps.

Le livre est court et se lit très bien comme c’est le cas de ce type d’ouvrages dont le style est très inspiré de « The Goal » ou « The Phoenix Project ». Il nous fait découvrir un tout nouvel étant de l’art du pipeline CI/CD orienté DevSecOps, une évolution majeure est ici franchie par rapport au classique CI/CD qui est le standard aujourd’hui. Et cette prise de conscience vaut le détour. Le lien vers le white paper « DevOps Automated Governance Reference Architecture » mérite incontestablement le détour en complément de cette lecture. Le propos va crescendo, n’abdiquez pas après les 2 premiers chapitres, le meilleur est à venir plus loin !

Référence complète : Investments Unlimited – Helen Beal, Bill Bensing, Jason Cox, Michael Edenzon, Tapabrata Pal, Caleb Queern, John Rzezotarski, Andres Vega, John Willis – IT Revolution 2022 – ISBN: 978 1 950508 53 2