【專家主場】形外佳興 ─ DevSecOps is Coming to Town

【專家主場】形外佳興 ─ DevSecOps is Coming to Town

我成日都覺得那些來自老歐洲的童話、神話故事相當恐怖。响 Browser 撳下撳下，撳出首聖誔歌：You better watch out, You better not cry, Better not pout, I’m telling you why, XXX is coming to town.. 讀著讀著，諗下一些不同種類的 XXX，頗有不寒而慄之感。當然，如果看看歐洲歷史，那倒又不覺得甚麽一回事。

唔知歐洲多唔多 Waterfall？我地做 IT 呢行，果陣寫 Assembler，都未有 Waterfall，只有一支辣雞同埋個 Tar 錶，睇住條電線嘅電壓點解上唔到，推唔郁個摩打，後來估到，真係粒Programmable ASIC 入面 Stack Overflow。在那一刻，我感到我係一堆電路版嘅 Avatar。呢 D 就係第一代嘅 DevOps 嘞，一路 Develop，一路叫：Ops！

Waterfall SDLC 有以下的問題：在編程之際，不易接受 User Requirements 的改變。成個過程，太長時間了。而且，在今天廿一世紀，通常都是發射後再瞄準，業務步伐太快，不如開咗工先，再想想個 User Requirements 吧！

所以就有了 Agile。其中有一支特別瘋狂的叫 Scrum，原本只供最有勇氣嘅人使用。現在更癲，將 Development 及 Operation 融為一圈。其實有兩個圈，第一個係流程的圈：Develop to Test to Deploy to Operate。另一個圈，是人的圈，整隊人圍在不同的 Microservices 及 Containers 之外，不斷將新東西放入個 Engine 中去玩。透過 Github 裝載所有源碼，再加上 Jenkins 的自動化測試及部署，整個世界就動起來了。如此，整個系統，可以一邊運行，同時不斷的進行改動，追上業務的發展。如果在 Waterfall 的時代，可能要用較長的時間，才能完成整個測試及部署。

其中有一個問題：Security。由於整體是在不斷、多元地變化，不易有一個「大閘」去一刀切地管控源碼的安全性問題，所以要倒過來，把安全性的監控，嵌入整體變化之中。所以，DevSecOps 就是一個概念，在 DevOps 的流程之中，加入自動化的安全檢查。我看這確是大勢所趨。

（Neo 按：各位觀眾，下一個世代，將會是 BizDevSecOpsPayEatTaxDie!）