El DEVOPS D-DAY 2023, un evento emblemático en el ámbito del DevOps, marcó un punto de inflexión con la participación de 1 200 profesionales del sector de las tecnologías de la información, 20 socios, 35 sesiones y 40 ponentes. Esta 8.ª edición, celebrada enel Orange Vélodrome, ha sido una plataforma de intercambio y descubrimiento de los últimos avances en DevOps, la nube y las tecnologías libres.
Tristan Nitot: Una revisión crítica de la Ley de Moore
Tristan Nitot, famoso por sus importantes contribuciones a proyectos como Mozilla y Cozy Cloud, ofreció una perspectiva única que combinaba tecnología y sostenibilidad durante su ponencia. Su compromiso activo contra el cambio climático y su variada trayectoria profesional sirvieron de base para su presentación.
Revisión del rendimiento informático
Nitot ha puesto en tela de juicio la ley de Moore, un paradigma histórico basado en la duplicación de la capacidad de los procesadores cada dos años. Ha destacado la urgencia de revisar esta norma ante los retos medioambientales actuales.
En una iniciativa innovadora, Nitot ha introducido el concepto de «erooM», que aboga por mejorar la eficiencia del software en lugar de limitarse a aumentar la potencia del hardware. Este enfoque tiene como objetivo duplicar la eficiencia del software cada año, lo que supone un cambio radical con respecto a la ley de Moore tradicional.
Enfoques pragmáticos y medidas concretas
Destacó la importancia de reducir la huella de carbono en el sector de las tecnologías de la información. Comparó la huella de carbono de los servidores, los coches y los aviones, lo que ilustra el impacto sustancial de la industria de las tecnologías de la información en el medio ambiente.
Al hablar de los centros de datos, hace hincapié en la mejora de su PUE (eficiencia en el uso de la energía). Cita ejemplos en los que el PUE se ha reducido de 2,4 a 1,2, lo que supone una notable disminución del consumo energético y, por consiguiente, del impacto medioambiental.
Tristan Nitot recomienda medidas concretas, como la reparación del material informático existente, una evaluación rigurosa de la huella de carbono y la adopción de comportamientos ecológicos. Anima a participar en talleres sobre el clima y la tecnología digital y destaca la importancia de la sensibilización a través de podcasts y cursos de formación especializados.
Esta conferencia ha servido de catalizador para una profunda reevaluación de las prácticas tecnológicas en el sector de las tecnologías de la información. Al centrarse en medidas pragmáticas y en cambios en las metodologías de desarrollo y operación, Nitot traza el camino hacia un futuro en el que DevSecOps trascienda el rendimiento técnico para asumir plenamente la responsabilidad medioambiental. Esta visión innovadora ofrece a los profesionales de DevSecOps la oportunidad de armonizar los objetivos tecnológicos con prácticas sostenibles, allanando así el camino hacia un futuro más ecológico y viable para la industria informática.
Desarrollo de una solución PaaS compatible con SecNumCloud por parte de Cloud Temple
En una fascinante conferencia, Alexandru Lata, de Cloud Temple, analizó el complejo proceso de desarrollo de una solución PaaS compatible con SecNumCloud. En esta sesión se expusieron los retos y los pasos clave para crear una oferta PaaS que se ajuste a los estándares actuales de seguridad y rendimiento.
Aceptar el reto de SecNumCloud
El taller comenzó con un análisis de la demanda del mercado de una oferta PaaS certificada por SecNumCloud. Lata señaló una notable carencia en la oferta actual de PaaS con certificación SecNumCloud, lo que pone de relieve la importancia crucial de este proyecto para cumplir con los requisitos de seguridad y soberanía digital.
La estrecha colaboración con la DINUM (Dirección Interministerial de lo Digital) y la DGE ha sido fundamental para adaptar la oferta a las normas nacionales de seguridad, similares a la norma ISO 27001. Se han necesitado tres años para llevar a buen término este proyecto, lo que da cuenta del compromiso y la complejidad de esta iniciativa.
El equipo de Cloud Temple ha elegido OpenShift como plataforma nativa en la nube, con el objetivo de ofrecer servicios digitales eficaces y seguros. El diseño de la arquitectura de hardware y software se ha concebido meticulosamente para cumplir los criterios del marco SecNumCloud.
La puesta en marcha de esta oferta ha constado de varias fases, entre las que se incluyen la elección de tecnologías adecuadas para el despliegue y la gestión de los clústeres de clientes, y la integración de técnicas de modelización de amenazas como STRITE. El objetivo de disponibilidad fijado en un 99,99 % ha puesto de relieve la importancia de la fiabilidad de la solución.
Se ha desarrollado un sistema de monitorización interno, que utiliza herramientas como VictoriaMetrics y Elastic para la gestión de registros, con el fin de garantizar una supervisión eficaz y en tiempo real del sistema.
Auditoría y proceso de acreditación
La preparación para la auditoría de cualificación SecNumCloud requirió un análisis de riesgos exhaustivo y el establecimiento de controles rigurosos. La auditoría interna y el PASSI desempeñaron un papel decisivo en la identificación y corrección de posibles deficiencias.
El enfoque DevSecOps adoptado por Cloud Temple, centrado en el concepto de «shift left security», ha puesto de relieve la importancia de integrar la seguridad desde el inicio del proceso de desarrollo. El recurso a los «Security Champions», la práctica del trabajo en parejas y la automatización han consolidado tanto la seguridad como la eficacia de la solución.
El balance del proyecto ha sido sumamente positivo, y los comentarios de los clientes destacan mejoras notables en cuanto a rendimiento y seguridad. La plataforma PaaS SecNumCloud-ready de Cloud Temple se ha consolidado como una solución viable y competitiva, que cumple con éxito los rigurosos requisitos de seguridad y soberanía digital.
El taller de Alexandru Lata ofreció una visión clara de los retos y dificultades relacionados con el desarrollo de una oferta PaaS compatible con SecNumCloud. Este exitoso proyecto pone de manifiesto la importancia de la innovación, la colaboración intersectorial y el compromiso con la seguridad y el rendimiento en el cambiante ámbito de DevOps. Para los expertos en DevSecOps, este caso práctico constituye un modelo ejemplar para diseñar soluciones que cumplan con las normas de seguridad más estrictas, al tiempo que satisfacen las necesidades comerciales y técnicas actuales.
La plataforma DevSecOps de código abierto del MIOM
El DEVOPS D-DAY 2023 fue escenario de una notable presentación sobre la plataforma DevSecOps de código abierto del Ministerio del Interior (MIOM), a cargo de Thibault Colin, desarrollador jefe del Ministerio, y Akram Blouza, de WeScale, quienes aportaron conjuntamente una amplia experiencia en diversos entornos técnicos. Esta iniciativa supone un punto de inflexión en la transformación digital del Gobierno francés, lo que pone de manifiesto la importancia del código abierto y de la colaboración intersectorial.
La visión y la experiencia que hay detrás de la plataforma
Thibault Colin, con seis años de experiencia en el sector público, considera que el código abierto es clave para una cooperación eficaz entre el sector público y las empresas del sector digital. Su compromiso con el interés general se refleja en su enfoque del desarrollo. Por su parte, Akram Blouza aporta más de quince años de experiencia en la gestión de programas informáticos a escala industrial, contribuyendo así al intercambio de conocimientos técnicos y al avance de la comunidad.
La transformación y la innovación, en el centro de la plataforma
La plataforma «Cloud Pi Native», desarrollada en colaboración con el Ministerio del Interior, ofrece servicios digitales de vanguardia en una nube automatizada y soberana. Basada en RedHat OpenShift y Kubernetes, su objetivo es mejorar la calidad de los servicios en el sector público. La apertura de la plataforma como código abierto es estratégica, ya que garantiza la seguridad, la transparencia y la interconexión con los entornos estatales, al tiempo que reduce las fricciones organizativas.
El ecosistema de la plataforma está compuesto por herramientas como GitLab, Harbor, ArgoCD, Nexus OSS y Trivy, que respaldan un enfoque de seguridad proactivo («shift left») en la cadena de herramientas DevSecOps. Este enfoque refuerza el compromiso con la responsabilidad medioambiental y la innovación colaborativa.
Perspectivas de evolución y expansión
MIOM tiene previsto ampliar el catálogo de servicios de la plataforma, introducir funcionalidades de marca blanca en la interfaz de usuario y garantizar una compatibilidad total con Kubernetes. La integración de capacidades de MLOps y la resiliencia son también objetivos clave para el futuro.
La presentación de esta plataforma DevSecOps de código abierto ha puesto de relieve el impacto positivo del código abierto y la colaboración en la modernización de los servicios digitales del sector público. Esta iniciativa supone un hito importante en la transformación digital del Gobierno francés, lo que reafirma su firme compromiso con la seguridad, la transparencia y la innovación.
Seguridad avanzada en la cadena de suministro de software: perspectivas de jFrog
Hamza Zaoui, de JFrog, impartió una conferencia fundamental centrada en la seguridad de las dependencias en la cadena de suministro de software. Con quince años de experiencia en industrialización de software, Zaoui compartió estrategias clave para reforzar y optimizar la cadena de suministro de software ante los retos actuales.
Retos de seguridad en la cadena de suministro de software
Zaoui destacó que las dependencias de las aplicaciones se han convertido en importantes vectores de ataque, lo que complica la tarea de proteger las cadenas de suministro de software. Subrayó la importancia crucial de comprender y gestionar estos riesgos para preservar la seguridad y la eficacia del proceso de desarrollo de software.
Cinco estrategias clave para una gestión eficaz
- Establecimiento de la gobernanza y las normas : Se ha recomendado establecer una gobernanza sólida y normas claras para gestionar el parque de aplicaciones. Este proceso incluye la clasificación de las aplicaciones y la evaluación del impacto de las políticas en los proyectos individuales.
- Priorización de la seguridad desde el diseño : El enfoque «Shift Left» en materia de seguridad, defendido por Zaoui, implica integrar la seguridad desde las primeras fases del desarrollo. Esto incluye la creación de pilas versionadas, la puesta a disposición de plantillas y la instalación de cortafuegos para filtrar las solicitudes y los paquetes maliciosos.
- Integración segura de los desarrolladores : La integración eficaz de los desarrolladores en los procesos de seguridad es vital. Zaoui abordó el análisis contextual en el IDE y la armonización de las políticas de seguridad con las prácticas de los desarrolladores, subrayando también la importancia de comunicar claramente los estándares de corrección.
- Estrategia orientada a la publicación : La emisión de una lista de materiales de software (SBOM) a lo largo del proceso de desarrollo resulta esencial. Esta estrategia facilita el seguimiento de las dependencias y reduce la fuerte dependencia de los repositorios públicos, reforzando así la seguridad y la transparencia.
- Supervisión continua y evaluación de riesgos : Es indispensable un seguimiento continuo para responder rápidamente a las vulnerabilidades emergentes (CVE) y para evaluar el impacto de las políticas de gobernanza. Este enfoque proactivo de gestión de riesgos se basa en un análisis detallado del impacto y la seguridad.
La intervención de Hamza Zaoui, de jFrog, en el DEVOPS D-DAY 2023 aportó ideas fundamentales sobre la seguridad de la cadena de suministro de software. La adopción de estas cinco estrategias por parte de las organizaciones no se limita a reforzar la seguridad, sino que también contribuye a mejorar la agilidad y la eficiencia en el desarrollo de software. Este enfoque global subraya la importancia de una prevención proactiva y de una gestión de riesgos adaptada a las realidades del DevSecOps moderno.
Transformación de CI/CD en Bedrock: el cambio a GitHub Actions para una mayor flexibilidad
Timothée Aufort y Jean-Yves Camier expusieron su proceso de transición de una infraestructura de CI/CD obsoleta a GitHub Actions para un equipo de 280 desarrolladores. En su presentación detallaron los retos a los que se enfrentaron y las estrategias que aplicaron para revitalizar el proceso de CI/CD de Bedrock.
Contexto y retos iniciales
Ante las limitaciones de DevFactory Jenkins, el equipo de Bedrock decidió migrar a GitHub Actions. El objetivo de este cambio era modernizar la infraestructura existente y resolver una parte significativa de la deuda técnica acumulada por la empresa.
El objetivo era posicionarse como un proveedor de servicios más dinámico y eficaz, capaz de acompañar el rápido crecimiento y adaptarse a las exigencias cambiantes de los equipos de desarrollo.
Proceso de migración
La migración se caracterizó por una planificación rigurosa y una ejecución minuciosa, con el objetivo constante de minimizar las molestias para los desarrolladores. La estrecha colaboración facilitó la transición al nuevo entorno de GitHub Actions.
Innovaciones técnicas adoptadas:
- Docker Buildx Bake: Se utiliza para optimizar las compilaciones de varias etapas, mejorando la eficiencia y reduciendo los tiempos de compilación.
- Helmfile y plantillas de Go : Se utilizan para implementar una serie de charts de Helm, aprovechando las plantillas de Go para una mayor flexibilidad.
- Gestión de secretos : Implementación de SOPS (Secrets OPerationS) para el cifrado de archivos, en colaboración con AWS KMS y HashiCorp Vault, lo que aumenta la seguridad de los datos confidenciales.
- Renovate y Kics Checkmarx: Integrados para la gestión de dependencias y el análisis SAST.
- Gestión de versiones con release-please : Adoptado para estructurar y automatizar el proceso de gestión de versiones.
- Gitleaks : Se utiliza para la detección preventiva de secretos en el código.
La transición de Bedrock Streaming a GitHub Actions supuso un punto de inflexión decisivo en su evolución hacia DevOps. Gracias a la adopción de tecnologías y métodos de vanguardia, el equipo no solo superó sus retos técnicos, sino que también sentó las bases para un futuro sólido. Este cambio a una infraestructura de CI/CD más flexible y segura sitúa a Bedrock en una posición ideal para responder a las crecientes necesidades y a los retos específicos del sector del streaming. Su experiencia constituye un valioso caso de estudio para otras entidades que estén considerando modernizar sus procesos de CI/CD, lo que pone de relieve la importancia crucial de la planificación, la colaboración y la innovación tecnológica.
La evolución de la experiencia CI/CD: convertir los retos en oportunidades
Frédéric Leger, especialista en DevOps/SRE, aportó sus profundos conocimientos en una conferencia titulada «Level-up your CI experience: Superar la frustración en la implementación de cadenas de CI/CD». Esta sesión se centró en las dificultades que suelen surgir al implementar cadenas de CI/CD y presentó soluciones innovadoras para optimizar la experiencia de los desarrolladores.
Retos actuales de la CI/CD
Frédéric explicó cómo los procedimientos actuales de CI/CD suelen generar frustración entre los desarrolladores, y mencionó las idas y venidas innecesarias, la falta de comentarios constructivos y la complejidad intrínseca de los archivos YAML. Destacó que estos problemas no solo suponen una pérdida de tiempo y de recursos económicos, sino que también afectan negativamente a la experiencia general de los desarrolladores.
También se ha destacado la falta deestandarización también se ha puesto de manifiesto en las herramientas de CI/CD, lo que ha dado lugar a una mayor dependencia de tecnologías propietarias y soluciones poco flexibles.
CI eXperience (CIX)
Se presentó el concepto de CIX (CI Experience), cuyo objetivo es aplicar los principios de la experiencia del desarrollador —como los entornos como servicio a través de una plataforma interna para desarrolladores (IDP)— a la integración continua (CI). Se recomendó el uso de hooks y pre-commit para lograr integraciones más rápidas y eficaces, con el fin de aligerar la carga de trabajo de los desarrolladores en la integración continua.
También se recomienda encarecidamente el uso de contenedores en la integración continua (CI), ya que permiten una mayor flexibilidad y portabilidad de las aplicaciones, las bibliotecas y el middleware. Los plantillas de CI, disponibles, por ejemplo, en GitLab y en el marketplace de GitHub Actions, ofrecen soluciones preconfiguradas para agilizar el proceso de CI/CD.
Para solucionar los problemas de portabilidad, Frédéric sugirió el uso de soluciones como Drone CI y Kubernetes, junto con las CRD (definiciones de recursos personalizados), lo que permite simular la integración continua a nivel local y garantizar una amplia compatibilidad.
Se han mencionado herramientas innovadoras como Dagger, Werf y Earthly como soluciones prometedoras para aumentar la flexibilidad y la eficiencia de la CI/CD. Dagger, por ejemplo, ofrece una CI portátil y multilingüe con la creación de módulos reutilizables. Werf cumple con los estándares de la CNCF y se centra en los flujos de trabajo de Kubernetes, mientras que Earthly ofrece un marco para compilaciones reproducibles.
La intervención de Frédéric Leger puso de relieve técnicas y herramientas innovadoras que permiten convertir los retos de la CI/CD en una experiencia enriquecedora para los desarrolladores. Al adoptar estos métodos, las organizaciones no solo pueden acelerar y simplificar sus procesos de CI/CD, sino también mejorar significativamente la satisfacción y la eficacia de sus equipos de desarrollo. Este enfoque global es fundamental para desenvolverse con éxito en el ámbito en constante evolución de DevOps.
Renovación de CI/CD gracias a InnerSource
Sébastien Longo, de Klanik, y Aurelien Coget, de R2DEVOPS, compartieron su innovadora experiencia con la adopción de InnerSource para hacer frente a los retos de los flujos de trabajo de CI/CD. Su ponencia, titulada «¡La CI/CD ya no es mi problema! InnerSource es nuestro aliado», puso de relieve la transformación que este método ha supuesto para la gestión de los procesos de CI/CD. Sébastien Longo describió la creciente complejidad de la gestión de los pipelines de CI/CD. Ante la necesidad de crear y actualizar constantemente plantillas, así como de gestionar configuraciones heterogéneas, Longo se vio obligado a dedicar una gran cantidad de tiempo y recursos.
La estrategia InnerSource
Sébastien ha relatado su proceso de adopción de InnerSource, un enfoque que fomenta la autonomía de los desarrolladores en la creación y el mantenimiento de sus propios flujos de trabajo de CI/CD. El uso de bibliotecas estandarizadas de CI/CD ha sido clave para simplificar y agilizar el desarrollo de estos flujos de trabajo.
Aurelien Coget también destacó la importancia de reestructurar las plantillas de CI/CD en un sistema monorepo, lo que permite unificar los métodos de compilación y despliegue. Esta estandarización ha facilitado considerablemente la gestión y la automatización de los flujos de trabajo, lo que ha permitido una mayor eficiencia y capacidad de respuesta en los proyectos de DevOps.
La plataforma R2Devops, con sus herramientas y funciones avanzadas, ha sido diseñada para integrarse a la perfección en un entorno InnerSource, lo que favorece una colaboración más estrecha y una mayor agilidad dentro de los equipos de desarrollo.
Uno de los retos persistentes era hacer un seguimiento de la adopción de las plantillas y garantizar su actualización automática en los flujos de trabajo de las aplicaciones. El uso de esta solución ha permitido garantizar la gobernanza. Para remediarlo, se implementó un panel de control para el seguimiento de los flujos de trabajo de CI, lo que estimuló la comunicación y la colaboración entre los equipos. La adopción de InnerSource mejoró la gestión de la deuda técnica y agilizó el proceso de creación de flujos de trabajo de aplicaciones. También promovió un mayor intercambio de conocimientos y recursos dentro de la empresa.
Esta experiencia ha demostrado la eficacia de InnerSource a la hora de resolver problemas relacionados con la integración continua y la entrega continua (CI/CD). Al otorgar más responsabilidades a los desarrolladores y estandarizar los procedimientos, Klanik logró superar los obstáculos, mejorando así su eficiencia operativa y la sinergia del equipo. Este enfoque ofrece valiosas lecciones para otras organizaciones que se enfrentan a retos similares en sus procesos de CI/CD.
GitOps en las operaciones: redefinir el despliegue de aplicaciones
Alexandre Gómez, aprendiz de SRE en Comwatt y estudiante de ingeniería DevOps en la Escuela Politécnica de Montpellier, tomó la palabra para presentar una sesión formativa sobre la aplicación de GitOps en las operaciones. Bajo el título «Implementar una aplicación con la filosofía GitOps», esta conferencia puso de relieve los métodos y las ventajas de GitOps en el contexto de la implementación de aplicaciones.
La filosofía de GitOps
En su presentación, Gómez presentó GitOps como una estrategia revolucionaria para orquestar y gestionar las implementaciones de aplicaciones. A través del ejemplo de Nicolás, un desarrollador que había diseñado una aplicación multiservicio, Gómez demostró la eficacia de GitOps para simplificar la implementación, utilizando Git como repositorio central para la configuración y la gestión de las infraestructuras.
Gómez destacó las principales ventajas de GitOps: mayor transparencia, mayor eficiencia en las implementaciones y gestión sistemática de los cambios de configuración.
Proceso de implementación con GitOps
Creación de una infraestructura como código : Gómez hizo hincapié en la importancia vital de la infraestructura como código (IaC), utilizando Terraform para crear y gestionar módulos reutilizables. También se abordó el uso de Kubernetes para la gestión de roles y espacios de nombres, destacando su papel a la hora de facilitar la gestión de recursos y la segmentación de la infraestructura.
Gestión de secretos : Se debatió sobre la gestión de secretos, un elemento crucial en la implementación de aplicaciones seguras. Gómez explicó el uso eficaz de herramientas como HashiCorp Vault para una gestión de secretos adaptada al contexto de GitOps.
Enfoques «push» y «pull» : Se ha establecido una distinción importante entre los enfoques «push», que utilizan pipelines de CI/CD a través de GitLab, y los enfoques «pull», que implican herramientas como ArgoCD y Flux. Gómez destacó la ventaja del enfoque «pull», en el que los servidores recuperan las configuraciones más recientes de Git, lo que garantiza un control más preciso y una mayor seguridad.
La presentación de Gómez ilustró cómo GitOps puede revolucionar el despliegue de aplicaciones, haciendo que el proceso sea más controlable, seguro y eficiente. El énfasis en Git como fuente central de verdad, junto con el uso de herramientas modernas de IaC y soluciones de gestión de secretos, posiciona a GitOps como una práctica imprescindible para los equipos de DevOps que buscan optimizar sus operaciones. Este enfoque no solo simplifica la gestión de entornos complejos, sino que también garantiza la trazabilidad y la coherencia en todas las acciones, alineando estrechamente las operaciones con las mejores prácticas de desarrollo.
Conclusión: El DEVOPS D-DAY 2023, un reflejo de la evolución de DevOps
El DEVOPS D-DAY 2023 resultó ser un mosaico de ideas innovadoras, conceptos y prácticas que perfilan el futuro de DevOps. El evento entrelazó magistralmente diversos temas, lo que puso de manifiesto la continua adaptabilidad y el crecimiento del ecosistema DevOps.
La transición desde el cuestionamiento de la ley de Moore por parte de Tristan Nitot hasta la práctica avanzada de GitOps de Alexandre Gómez ha puesto de manifiesto la rapidez con la que evolucionan las tecnologías y las metodologías en el ámbito del DevOps. Esta evolución, caracterizada por un énfasis en la optimización del software y la automatización, como demuestra la experiencia de Bedrock Streaming con CI/CD, apunta a una tendencia general hacia la mejora continua y la eficiencia en el sector de las tecnologías de la información.
Las sesiones de JFrog, centradas en los retos de seguridad en la cadena de suministro de software, han coincidido con los avances en materia de CI/CD y GitOps, donde la integración proactiva de la seguridad se ha convertido en un leitmotiv. Esta sinergia entre seguridad y agilidad se vio reforzada por el enfoque InnerSource, que, en consonancia con la iniciativa colaborativa y abierta de la plataforma «Cloud Pi Native» del MIOM, puso de relieve la importancia del intercambio de conocimientos y la cooperación para el desarrollo de soluciones eficaces y seguras.
Cada ponencia del DEVOPS D-DAY 2023 ha abordado un aspecto de la transición y la transformación constantes en el mundo de DevOps y la seguridad informática. Estos debates no solo han reflejado las tendencias actuales, sino que también han allanado el camino para futuros avances.
Perspectivas de futuro
A pesar del esplendor de las innovaciones y las ideas presentadas en el DEVOPS D-DAY 2023, en ocasiones pareció faltar un poco de la profundidad técnica y la experiencia que habían caracterizado a ediciones anteriores. No obstante, el nivel general fue satisfactorio, con sesiones que abarcaron un amplio abanico de temas relevantes. Las presentaciones fueron accesibles y ofrecieron una introducción completa a los diversos aspectos de DevOps, lo que resultó beneficioso para los participantes poco familiarizados con este campo.
En conclusión, la edición de 2023 ha sentado unas bases sólidas y accesibles para explorar el amplio universo de DevOps. Hay mucha expectación por la edición del año que viene, con contenidos más centrados en la experiencia y la innovación técnica.;
Lionel GAIROARD
Responsable de DevSecOps
