Probleme erkennen und lösen: Observability-Praxis im CI/CD-Prozess

Seite 4: DevSecOps-Effizienz

Inhaltsverzeichnis

Admins könnten versucht sein, die Sicherheit betreffende CI/CD-Jobs zu reduzieren, die eine gewisse Laufzeit überschreiten. Hier gilt die Faustregel: Diese Jobs sollten bleiben, denn Security-Scanner erkennen Sicherheitslücken in einem Merge Request frühzeitig, bevor das Problem die Produktion erreicht. Wenn Lücken, die direkt im Main-Branch landen, schnell erkannt sind, lassen sie sich durch sofortigen Commit-Rollback wieder schließen. Oft sind Security-Scanner per Default nicht für bestimmte Programmiersprachen oder Frameworks optimiert, sodass Entwicklerinnen und Entwickler selbst Hand anlegen müssen, um Laufzeit und Testfälle einzuschränken. In GitLabs Static Application Security Testing (SAST) findet sich eine Fülle an unterstützten Sprachen und Frameworks.

Nicht jedes Entwicklungs- oder DevOps-Team muss eigene Pipelines bauen und pflegen. Ein gemeinsamer CI/CD-Katalog ist eine empfehlenswerte Einrichtung. Ein Beispiel für solch einen Reusable Workflow ist der GitLab CI/CD Components Catalog. In der Praxis ist es vorteilhaft, wenn alle Mitarbeiterinnen und Mitarbeiter im Team Pipeline-Probleme schnell beheben können, denn beispielsweise darauf warten zu müssen, bis jemand aus dem Urlaub zurückkehrt, ist sehr ineffizient. Beim Erstellen einer Pipeline sollten Entwicklerinnen und Entwickler deren Architektur entsprechend dokumentieren, wozu sich unter anderem Mermaid-Charts in Markdown anbieten. Scripts und Befehle sollten sich an bewährten Programmierstilen orientieren: lesbare Fehlermeldungen vorsehen, Stacktraces vermeiden und Dokumentationslinks mit weiterführender Information anlegen. So können alle im Team asynchron an der Fehlerbehebung arbeiten oder Vorschläge für effizientere Pipelines einbringen.

Ebenso wichtig ist es, Pipeline-Observability-Daten nicht im SRE-Dashboard zu verstecken. Insbesondere die Integration in Merge-Request-Widgets und Direktlinks in Kommentaren helfen bei einer schnelleren Analyse.

Infrastruktur- und Security-Observability helfen bei der Erkennung von Problemen in CI/CD-Pipelines – seien es mangelnde Ressourcen, Sicherheitslücken oder blockierende Prozesse. Zusätzliche Einblicke eröffnen Tracing und CI-Visibility. Observability-Daten machen auch bislang noch unbekannte Probleme sichtbar und tragen zu Ressourceneinsparung und Kostenoptimierung bei. Das Beispiel KI zeigt, dass Innovationen in diesen Bereichen schnell voranschreiten.

(map)