Sonatype dévoile sa solution complète de gestion de la chaîne logistique logicielle | Communiqué de presse

Simplifier le déploiement de code : l'expérience d'un laboratoire national du DoE des États-Unis

Shipping Code Quickly and Securely with Sonatype Nexus

Déployer du code le plus rapidement possible demeure un défi à part entière, et ce, peu importe votre secteur d'activité : les entreprises doivent en effet s'assurer que le code qu'elles rédigent fonctionne et n'interrompe aucune autre fonction, d'autant plus lorsque ce code contribue à la gestion d'armes nucléaires. C'est là l'enjeu auquel l'un des laboratoires nationaux du département de l'Énergie (DoE) des États-Unis et son chef de projet sont confrontés.

Un déploiement complexe


La mission des équipes rattachées au laboratoire consistait à rédiger du code. Le problème ? Le processus de sécurité, interminable, venant compliquer le déploiement de ce code. Comme l'a fait remarquer le chef de projet rattaché à la mission : « Ce problème a failli entraîner la fermeture du laboratoire. Nos équipes chargées de la sécurité se trouvaient dépendantes de cycles d'approbation qui pouvaient parfois durer jusqu'à six mois. »

Pour un développeur, devoir patienter six mois avant que son code ne soit validé est insoutenable. Alors, lorsque du code rédigé il y a plusieurs mois échoue en phase d'évaluation du niveau de sécurité, le changement de contexte qui en découle peut souvent s'avérer extrêmement coûteux. En effet, d'un refus découle la rédaction d'un code différent, ce dernier devant être soumis à une nouvelle évaluation pour espérer être validé dans les semaines ou mois à venir.

Shifting Security Left


Pour le chef de projet, cela ne faisait plus aucun doute : il était nécessaire de réduire le délai entre l'écriture du code et l'évaluation des vulnérabilités, sans oublier le besoin de répondre aux exigences de qualité strictes incombant à un laboratoire de recherche en énergie nucléaire.

C'est à ce moment précis que la plateforme Nexus est entrée en jeu. En tirant parti de ce produit signé Sonatype, les équipes ont non seulement pu vérifier les niveaux de qualité et de sécurité des bibliothèques qu'elles intégraient au code avant de le déployer, mais elles ont également été en mesure de démontrer aux personnes de l'entreprise chargées d'évaluer la sécurité les avantages découlant de Nexus, à savoir la possibilité d'atténuer le niveau de vigilance appliqué au nouveau code. Ainsi, en s'occupant des tâches les plus courantes, le logiciel Nexus a allégé la charge de travail des ingénieurs en sécurité pour leur permettre de se concentrer davantage sur la recherche et l'identification de vulnérabilités plus difficiles à détecter.

Une intégration qui a porté ses fruits, puisque certaines des évaluations, à défaut de durer plusieurs semaines, ne demandent plus que quelques heures. Grâce à une telle diminution du délai de déploiement, les équipes de sécurité ont pu proposer aux chercheurs des fonctionnalités bien plus importantes.

Un gain de valeur dès le premier jour


Alors que les défis posés par ce cycle de sécurité chronophage ne faisaient aucun doute pour les développeurs, le chef de projet du laboratoire savait que la résolution d'un tel problème prendrait du temps et devrait se faire pas à pas : « En tenant compte de l'environnement gouvernemental dans lequel nous évoluons, je comprends pourquoi cette phase nous a pris autant de temps. Je pense que le fait d'annoncer à mes équipes l'ampleur de la tâche vis-à-vis du court délai imparti les aurait fait fuir... littéralement. »

Plutôt que d'attaquer de front le problème, le chef de projet a adopté une approche plus mesurée, étape par étape. Ainsi, il s'est d'abord intéressé à chacune des phases du processus qu'il souhaitait intégrer avant de les ajouter une à une. Ensuite, il a permis à l'équipe de se familiariser aux outils à son propre rythme, aidant les collaborateurs à identifier d'eux-mêmes tous les avantages que cet outil pourrait apporter à leur workflow, une fois le nouveau système adopté à l'unanimité.

Au fur et à mesure de l'ajout d'outils, le chef de projet échangeait avec les équipes afin d'obtenir leurs avis sur ces nouveaux workflows ; des retours qui se sont toujours avérés positifs.

Développer le leadership au sein des équipes


Cette révolution a affecté les développeurs de diverses manières. C'est en tout cas ce qu'affirme le chef de projet : « Au sein des équipes, quelques développeurs sont devenus de véritables professionnels DevSecOps. La nouvelle s'est très vite répandue, d'abord au sein de notre société, puis dans notre groupe. » En mettant de nouveaux outils à disposition des équipes et en leur permettant de voir par eux-mêmes tous les avantages apportés, des leaders ont vu le jour et ont mis en commun les résultats obtenus avec d'autres équipes. Une initiative qui s'est très vite transformée en un effort commun, non plus à l'origine des cadres dirigeants, mais bien des employés.

C'est ainsi que la bonne nouvelle s'est répandue au reste de la société. Très vite, les équipes ont souhaité apporter de nouveaux fonds à leur budget, demandant au chef de projet d'adapter les tâches au sein des groupes. La valeur apportée aux équipes était telle que le mouvement s'est très rapidement développé.

S'adapter, en douceur


Alors qu'un vent de DevSecOps soufflait sur la société, un autre avantage apporté par Sonatype n'est pas passé inaperçu auprès du chef de projet. Aux premiers jours de cette initiative, seule une équipe était concernée. Pourquoi ? Car le chef de projet savait que les outils s'intégreraient parfaitement à son workflow.

Puis, dès le moment où d'autres équipes ont elles aussi commencé à adopter une approche DevSecOps, un nouveau mode de fonctionnement a pu être observé par le responsable, signifiant une potentielle apparition de difficultés ; les workflows, différents, pourraient de ne pas fonctionner de manière optimale avec les outils Sonatype, privant les utilisateurs de la valeur attendue.

Contre toute attente, l'intégration fut une véritable réussite. Les développeurs ont en effet été capables de configurer les intégrations Nexus de manière à fonctionner avec leurs propres technologies : « Je souhaitais que les développeurs se familiarisent avec ces intégrations, raison pour laquelle ils ont pu les concevoir et les configurer eux-mêmes, explique le chef de projet. Une réunion rassemblant notre communauté DevSecOps s'est tenue il y a de cela quelques mois. En réalité, les équipes travaillent selon leurs propres méthodes, avec leurs propres repositories et code source. Ensuite, elles fusionnent et publient leurs contenus. Tout ceci, de cinq ou six façons différentes. »

À chaque équipe son propre rythme


En mesure de se connecter entre elles grâce à Sonatype Nexus Exchange, les équipes ont pu accéder à des plugins adaptés à leurs propres workflows, et ce, sans le moindre bouleversement. De même, en ayant la possibilité de configurer leur installation de leur propre chef, elles ont véritablement eu la sensation de maîtriser, voire posséder, le produit final. Certes, l'ajout de Sonatype Nexus ajoutait une nouvelle étape au workflow, mais cette dernière a très vite démontré sa valeur. Le plus ? Elle n'affectait en rien le mode de fonctionnement des équipes.

Les équipes de développement ont finalement pu bénéficier d'un produit qui, une fois installé, les a aidées de manière presque imperceptible à déployer du code à la fois plus sécurisé et de bien meilleure qualité. Constatant ces formidables résultats, d'autres équipes ont décidé de rejoindre le mouvement et, très rapidement, se sont familiarisées à la présence de Nexus dans leurs workflows.

Repenser son processus de déploiement de code avec Sonatype Nexus


Formation poussée au DevSecOps ? Très peu pour le chef de projet du laboratoire en question : « Je me suis formé au DevSecOps en autodidacte. Une bonne chose, puisque sans cela, je ne serais pas là où je me trouve aujourd'hui. Je ne me considère pas développeur, mais je sais qu'en adoptant les bons outils, je peux faciliter la tâche de nos développeurs. »

Signée Sonatype, la plateforme Nexus a rendu possible l'élaboration d'un processus capable d'identifier bien plus rapidement les problèmes de code et de sécurité. À la fois fiable et complet, cet outil a permis aux équipes de réduire le délai d'écriture de code nécessaire à l'évaluation du niveau de sécurité, améliorant ainsi leur productivité et le bien-être des développeurs. Ces derniers, désormais plus heureux, témoignaient alors de leur réussite auprès d'autres groupes. Résultat : un véritable effet boule de neige. La simplicité d'intégration de Nexus avec de nombreux outils et workflows a permis aux équipes de rapidement et facilement apprécier le produit.

Bien que le fait de travailler aux côtés de laboratoires de recherche en énergie nucléaire ait posé quelques difficultés pour le moins uniques, les solutions identifiées par le chef de projet se sont révélées parfaitement adaptées aux besoins de la mission. Le DevSecOps a offert une certaine structure venant simplifier le processus interne de déploiement de code tout en répondant aux exigences, le tout avec Sonatype Nexus. Pensez-vous que votre entreprise pourrait elle aussi profiter des nombreux avantages de Sonatype ?

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.