SlideShare una empresa de Scribd logo

Novedades en CI/CD

Descargar como PPTX, PDF
Nicolás Bello Camilletti
Nicolás Bello Camilletti

Las prácticas de integración continua e implementación/entrega continua (CI/CD) y DevOps ya están establecidas, no solo como buenas costumbres en todas las empresas, sino también como un diferencial clave a la hora de marcar una diferencia con nuestra competencia. En esta charla, veremos una breve introducción y las novedades de estas prácticas con foco en las herramientas que nos brinda Google Cloud.

Tecnología
1 de 65
Novedades en CI/CD @nbellocam Cloud Santiago
Qué es CI/CD
Combinación de prácticas de continuous integration (CI) y continuous delivery (CD) o (menos común) continuous deployment (también CD) CI/CD = CI + (CD || CD) Delivery Deployment CI/CD
Vamos por partes Continuous Delivery (CD) Foco en que el software este siempre listo para salir a producción, haciendo deploys a algún ambiente para probar. Continuous Deployment (CD) Similar al anterior, pero automatizando la salida a producción. O Continuous Integration (CI) ● Unir/Mergear todos nuestros cambios frecuentemente en la rama principal ● Revisiones de código ● Compilar la solución ● Correr test de unidad e integración
En acción: completo Source Control Guardado y revisiones Desarrollo local Escribir el código Controles de seguridad Auditorias, escaneo, etc. Continuous Integration Compilación y testing automatizado Smoke testing ¿Hay algo que se nos escapó? Continuous Deployment Cuando pasan los test, pasamos a producción Continuous Delivery Deploy continuo a staging para testing de integración
En acción: completo Source Control Guardado y revisiones Desarrollo local Escribir el código Controles de seguridad Auditorias, escaneo, etc. Continuous Integration Compilación y testing automatizado Smoke testing ¿Hay algo que se nos escapó? Continuous Deployment Cuando pasan los test, pasamos a producción Continuous Delivery Deploy continuo a staging para testing de integración
Shift Left Source Control Guardado y revisiones Desarrollo local Escribir el código Controles de seguridad Auditorias, escaneo, etc. Continuous Integration Compilación y testing automatizado Smoke testing ¿Hay algo que se nos escapó? Continuous Deployment Cuando pasan los test, pasamos a producción Continuous Delivery Deploy continuo a staging para testing de integración
¿Por qué modernizar?
¿Quién no rompió producción alguna vez? Photo by Pickled Stardust on Unsplash
¿Como pasa esto? 1. Procesos manuales 2. Pasos manuales 3. Dependencia en estados anteriores correctos 4. Checklist de “cómo salir a producción” incompletos Photo by Pickled Stardust on Unsplash
¿Por qué nos interesa esto?
El rendimiento de la entrega continua predice el rendimiento de la entrega de software, lo que predice el rendimiento organizacional Medido por KPIs como ● mayor cuota de mercado ● reducción del agotamiento de los empleados
Mayor rendimiento de entrega también significa saber antes cuando algo no funciona. Photo by Dim Hou on Unsplash
¿Necesitas más motivos? Revisar DORA Catálogo de Capacidades Verificación rápida de DevOps Informe Accelerate State of DevOps 2023 y anteriores
Desafíos de CI/CD ● Elasticidad Photo by Tobias Tullius on Unsplash
Desafíos de CI/CD ● Elasticidad
Desafíos de CI/CD ● Elasticidad ● Portabilidad ● Mantenimiento Photo by Tobias Tullius on Unsplash
Soluciones “modernas” de CI/CD ● Diseñados con la portabilidad en mente ● Elásticos ● Gestionados Photo by Efe Kurnaz on Unsplash
Seguridad de la cadena de suministro de software
Seguridad de la cadena de suministro de software Desafíos Photo by Arno Senoner on Unsplash
Cadena de suministro de software
Cadena de suministro de software - ataques
Gran dependencia del código abierto Introduce contribuyentes desconocidos y amplía la cadena de suministro Proliferación de OOS Automatización de CI/CD El desarrollo moderno aumenta la frecuencia de implementación Falta de automatización de seguridad Proliferación de imágenes base Muchos vectores de ataque La cantidad de vectores de ataque hace que esto sea difícil de proteger Difícil de entender el nivel de exposición Herramientas / Estándares Número y ritmo de los nuevos estándares No hay ninguna solución de producto de clase empresarial de extremo a extremo en el mercado Principales Desafíos
Seguridad de la cadena de suministro de software Conceptos Photo by Arno Senoner on Unsplash
Factores clave Procedencia ¿Dónde y cómo fue creado? Transparencia ¿Cuál es el contenido? Impacto ¿Se ven afectados? Photo by Jen Theodore on Unsplash
Procedencia
Procedencia: SLSA framework Supply Chain Levels for Software Artifacts ● Open Source Security Framework ● Exteriorización del framework interno de Google ● Gobernanza abierta slsa.dev
Procedencia: SLSA framework Supply Chain Levels for Software Artifacts slsa.dev Requisitos Foco L0 (ninguno) (n/a) L1 Procedencia mostrando cómo se construyó el paquete Errores, documentación L2 Procedencia firmada, generada por una plataforma de compilación alojada Manipulación después del build L3 Hardened build platform, isolation Manipulación durante o después el build
Procedencia: SLSA framework Supply Chain Levels for Software Artifacts ● Builders producen un documento de procedencia firmado (aka build attestation) ● El documento incluye una definición de compilación y detalles de ejecución de la misma ● Los consumidores siguientes pueden usar este documento y tomar decisiones por policies slsa.dev
Transparencia
Transparencia: SBOM Software Bill of Materials Impulsores de SBOM: ● Al producir: Cumplimiento de licencias, monitoreo de vulnerabilidades ● Al seleccionar: Análisis de seguridad dirigido, cumplimiento de políticas ● Al operar: Gestión de riesgos, mitigaciones independientes cisa.gov/sbom Software Package Data Exchange
Impacto
Impacto: VEX Vulnerability Exploitability eXchange ● El software puede contener componentes con una vulnerabilidad y, sin embargo, no ser vulnerable en sí mismo ● VEX proporciona contexto para las vulnerabilidades del software mediante declaraciones de impacto cisa.gov/sbom
Impacto: VEX Vulnerability Exploitability eXchange ● El software puede contener componentes con una vulnerabilidad y, sin embargo, no ser vulnerable en sí mismo ● VEX proporciona contexto para las vulnerabilidades del software mediante declaraciones de impacto cisa.gov/sbom VEX Impact Statement VULNERABILITY X [AFFECTS|DOES NOT AFFECT] SOFTWARE Y [BECAUSE OF Z]
CI/CD en Google Cloud
Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
Cloud Workstations y Cloud Code
● Administrar la infraestructura de la estación de trabajo ● Políticas de seguridad ● Imágenes personalizadas ● Controles de VPC y VPC- Service ● Regionalizado Cloud Workstations: Managed Dev Environment DevOps Team Devs ● Bajo demanda ● Accede desde cualquier lugar ● Herramientas preconfiguradas ● Consistente en todo el equipo
Cloud Code ● Incorpora Duet AI en tus IDE favoritos ● Detección de vulnerabilidades mientras programas ● Información procesable, pasos de resolución ● Informes de licencias
Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
Cloud Build
Plataforma de automatización de DevOps flexible Sin opinión, permite ejecutar: ● CI & Builds (Containers, binarios, files, VM images) ● Integration tests ● Automated Deployments ● Infra-as-Code (terraform, helm) ● Data, ML, IoT pipelines
Cloud Build workflow ● Ejecuta la compilación como una serie de pasos ● Cada paso es un contenedor ● Las compilaciones no tienen servidor ● Containers ● Artefactos de lenguaje (go, npm, Python, Maven, etc) /workspace Build step Build step Build step Build step Build step </> Código fuente Artefactos
Características • Compatibilidad nativa con Docker • Integración directa con GitHub y GitLab • Compatibilidad integral con gcloud y Terraform • Tipos de activadores: manuales, webhooks y Pub/Sub • 15 tipos de máquinas y ejecuta cientos de compilaciones simultáneas por grupo • Cumplimiento del nivel 3 de SLSA • Soporte VPC • 2500 minutos gratis
Procedencia: Cloud Build ● Procedencia de compilación automática - SLSA Nivel 3 ○ Prevención de manipulación del build ○ Generación de certificación verificable ● Security insights
Artifact Registry + Artifact Analysis
Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
Artifact Registry es la evolución de GCR ● Gestión de artefactos de compilación escalable, confiable y segura de contenedores y paquetes ● GCP native-and-integrated ● Universal package manager (containers, language packages, OS packages y generic) ● Soporte integrado para funciones de seguridad y cumplimiento de GCP
Artifact Registry: algunas características nuevas ● Remote Repositories ● Virtual Repositories ● Cleanup Policies
Seguridad de la cadena de suministro de software Artifact Registry ● Repositorios virtuales y remotos ● Gobernanza de dependencia más sencilla Artifact Analysis ● Escaneo de contenedores al instante (puntuación CVSS) ● Capacidad para exportar información SBOM
Artifact Analysis Package Scanning ● Maven ● Go ● Python ● NPM Photo by Milan Malkomes on Unsplash
Transparencia: SBOM Software Bill of Materials Google Artifact Registry permite generar una lista de materiales de software (SBOM) utilizando las herramientas de Google Cloud o puede incorporar sus propios SBOM generados por productos de terceros.
Cloud Deploy
Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
Cloud Deploy ● Entrega continua, objetiva y gestionada: ○ Google Kubernetes Engine ○ Multi-cloud & On-prem clusters ○ Cloud Run ● Prácticas de implementación centralizada ● Énfasis en una fácil incorporación, control y acceso a métricas
Cloud Deploy: algunas características nuevas ● Canary deploy ● Parallel deploy + Deploy parameters ● Deploy hooks
Enfoque de seguridad de la cadena de suministro de software de Google Cloud
Seguridad de la cadena de suministro de software
Seguridad de la cadena de suministro de software Desarrollo ● Cloud IDE ● Conocimiento de vulnerabilidades de dependencias y licencias Suministros ● Portafolio de paquetes OSS confiables ● Análisis de vulnerabilidades ● Gobernanza de dependencias ● Pipeline de imágenes base CI/CD ● Procedencia de la compilación ● Generación de SBOM y VEX ● Evaluación de políticas ● Validación previa al vuelo ● Repositorios confiables Ejecución ● Control de admisión ● Análisis de configuración incorrecta ● Revisión continua de vulnerabilidades ● Validación de políticas Policy
● Considerar servicios de CI/CD administrados ● Asegurarse de que nuestro pipeline tenga protecciones contra manipulaciones ● Integrar la seguridad tempranamente ● Los pipelines de alto rendimiento conducen a mejores negocios y a ingenieros más felices Photo by Patrick Perkins on Unsplash
¡Muchas Gracias! @nbellocam Cloud Santiago

Recomendados

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAmazon Web Services LATAM
 
Continuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioContinuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioOsvaldo
 
Continuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioContinuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioOsvaldo
 
Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous DeliveryAmazon Web Services LATAM
 
DevOps Spain 2019. Luis hernández-Hopla
DevOps Spain 2019. Luis hernández-HoplaDevOps Spain 2019. Luis hernández-Hopla
DevOps Spain 2019. Luis hernández-HoplaatSistemas
 
BBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsBBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsErnesto Anaya
 
DevOps: una breve introducción
DevOps: una breve introducciónDevOps: una breve introducción
DevOps: una breve introducciónChristian Rodriguez
 

Recomendados

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAmazon Web Services LATAM
 
Continuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioContinuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioOsvaldo
 
Continuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioContinuous Delivery Un caso de estudio
Continuous Delivery Un caso de estudioOsvaldo
 
Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous DeliveryAmazon Web Services LATAM
 
DevOps Spain 2019. Luis hernández-Hopla
DevOps Spain 2019. Luis hernández-HoplaDevOps Spain 2019. Luis hernández-Hopla
DevOps Spain 2019. Luis hernández-HoplaatSistemas
 
BBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsBBVA Arquitectura - Demo DevOps
BBVA Arquitectura - Demo DevOpsErnesto Anaya
 
DevOps: una breve introducción
DevOps: una breve introducciónDevOps: una breve introducción
DevOps: una breve introducciónChristian Rodriguez
 
Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsStephen de Vries
 
¿Cómo poner software de calidad en manos del usuario de forma rápida?
¿Cómo poner software de calidad en manos del usuario de forma rápida?¿Cómo poner software de calidad en manos del usuario de forma rápida?
¿Cómo poner software de calidad en manos del usuario de forma rápida?Micael Gallego
 
Firebase - Introducción a BAAS
Firebase - Introducción a BAASFirebase - Introducción a BAAS
Firebase - Introducción a BAASGDG Sincelejo
 
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsWebinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsavanttic Consultoría Tecnológica
 
Breve introducción práctica al DevOps - (es) 2021_03_18
Breve introducción práctica al DevOps - (es) 2021_03_18Breve introducción práctica al DevOps - (es) 2021_03_18
Breve introducción práctica al DevOps - (es) 2021_03_18Young Suk Ahn Park
 
VDI Security
VDI SecurityVDI Security
VDI SecurityCristian Borghello
 
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloDevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloVictor M. Fernández
 
CI integración continua
CI integración continuaCI integración continua
CI integración continuaMariano German Egui
 
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructuraDevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructuraAlejandro García Miravet
 
ALM09 - Scrum, Visual Studio y Buenas Prácticas
ALM09 - Scrum, Visual Studio y Buenas PrácticasALM09 - Scrum, Visual Studio y Buenas Prácticas
ALM09 - Scrum, Visual Studio y Buenas PrácticasRodrigo Corral
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Luciano Moreira da Cruz
 
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.melidevelopers
 
Real CI/CD para MSDyn365FO… Be a hero!
Real CI/CD para MSDyn365FO… Be a hero!Real CI/CD para MSDyn365FO… Be a hero!
Real CI/CD para MSDyn365FO… Be a hero!Demian Raschkovan
 
Caminando hacia la agilidad con Visual Studio 2010
Caminando hacia la agilidad con Visual Studio 2010Caminando hacia la agilidad con Visual Studio 2010
Caminando hacia la agilidad con Visual Studio 2010Rodrigo Corral
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesJose Luis Soria
 
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsMeetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsavanttic Consultoría Tecnológica
 
Rapid Application Development con Visual Studio 2005
Rapid Application Development con Visual Studio 2005Rapid Application Development con Visual Studio 2005
Rapid Application Development con Visual Studio 2005juliocasal
 
Cómo maximizar todos los beneficios traidos por la promesa de los contenedores
Cómo maximizar todos los beneficios traidos por la promesa de los contenedoresCómo maximizar todos los beneficios traidos por la promesa de los contenedores
Cómo maximizar todos los beneficios traidos por la promesa de los contenedoresDocker, Inc.
 
Colorful Modern Clean Mind Map Graph.pdf
Colorful Modern Clean Mind Map Graph.pdfColorful Modern Clean Mind Map Graph.pdf
Colorful Modern Clean Mind Map Graph.pdfarnold161047
 
DevOps en AWS, acelarando el desarrollo de software con Developer Tools
DevOps en AWS, acelarando el desarrollo de software con Developer ToolsDevOps en AWS, acelarando el desarrollo de software con Developer Tools
DevOps en AWS, acelarando el desarrollo de software con Developer ToolsAmazon Web Services LATAM
 
Progressive web apps
Progressive web appsProgressive web apps
Progressive web appsNicolás Bello Camilletti
 
Personalizando experiencias de usuario con Reinforcement learning y Azure
Personalizando experiencias de usuario con Reinforcement learning y AzurePersonalizando experiencias de usuario con Reinforcement learning y Azure
Personalizando experiencias de usuario con Reinforcement learning y AzureNicolás Bello Camilletti
 

Más contenido relacionado

Similar a Novedades en CI/CD

Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsStephen de Vries
 
¿Cómo poner software de calidad en manos del usuario de forma rápida?
¿Cómo poner software de calidad en manos del usuario de forma rápida?¿Cómo poner software de calidad en manos del usuario de forma rápida?
¿Cómo poner software de calidad en manos del usuario de forma rápida?Micael Gallego
 
Firebase - Introducción a BAAS
Firebase - Introducción a BAASFirebase - Introducción a BAAS
Firebase - Introducción a BAASGDG Sincelejo
 
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsWebinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsavanttic Consultoría Tecnológica
 
Breve introducción práctica al DevOps - (es) 2021_03_18
Breve introducción práctica al DevOps - (es) 2021_03_18Breve introducción práctica al DevOps - (es) 2021_03_18
Breve introducción práctica al DevOps - (es) 2021_03_18Young Suk Ahn Park
 
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloDevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloVictor M. Fernández
 
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructuraDevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructuraAlejandro García Miravet
 
ALM09 - Scrum, Visual Studio y Buenas Prácticas
ALM09 - Scrum, Visual Studio y Buenas PrácticasALM09 - Scrum, Visual Studio y Buenas Prácticas
ALM09 - Scrum, Visual Studio y Buenas PrácticasRodrigo Corral
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Luciano Moreira da Cruz
 
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.melidevelopers
 
Real CI/CD para MSDyn365FO… Be a hero!
Real CI/CD para MSDyn365FO… Be a hero!Real CI/CD para MSDyn365FO… Be a hero!
Real CI/CD para MSDyn365FO… Be a hero!Demian Raschkovan
 
Caminando hacia la agilidad con Visual Studio 2010
Caminando hacia la agilidad con Visual Studio 2010Caminando hacia la agilidad con Visual Studio 2010
Caminando hacia la agilidad con Visual Studio 2010Rodrigo Corral
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesJose Luis Soria
 
Rapid Application Development con Visual Studio 2005
Rapid Application Development con Visual Studio 2005Rapid Application Development con Visual Studio 2005
Rapid Application Development con Visual Studio 2005juliocasal
 
Cómo maximizar todos los beneficios traidos por la promesa de los contenedores
Cómo maximizar todos los beneficios traidos por la promesa de los contenedoresCómo maximizar todos los beneficios traidos por la promesa de los contenedores
Cómo maximizar todos los beneficios traidos por la promesa de los contenedoresDocker, Inc.
 
Colorful Modern Clean Mind Map Graph.pdf
Colorful Modern Clean Mind Map Graph.pdfColorful Modern Clean Mind Map Graph.pdf
Colorful Modern Clean Mind Map Graph.pdfarnold161047
 
DevOps en AWS, acelarando el desarrollo de software con Developer Tools
DevOps en AWS, acelarando el desarrollo de software con Developer ToolsDevOps en AWS, acelarando el desarrollo de software con Developer Tools
DevOps en AWS, acelarando el desarrollo de software con Developer ToolsAmazon Web Services LATAM
 

Similar a Novedades en CI/CD (20)

Pruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev opsPruebas de seguridad continuas para dev ops
Pruebas de seguridad continuas para dev ops
 
¿Cómo poner software de calidad en manos del usuario de forma rápida?
¿Cómo poner software de calidad en manos del usuario de forma rápida?¿Cómo poner software de calidad en manos del usuario de forma rápida?
¿Cómo poner software de calidad en manos del usuario de forma rápida?
 
Firebase - Introducción a BAAS
Firebase - Introducción a BAASFirebase - Introducción a BAAS
Firebase - Introducción a BAAS
 
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOpsWebinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
Webinar - Moderniza tu proceso de desarrollo con Oracle Cloud y DevOps
 
Breve introducción práctica al DevOps - (es) 2021_03_18
Breve introducción práctica al DevOps - (es) 2021_03_18Breve introducción práctica al DevOps - (es) 2021_03_18
Breve introducción práctica al DevOps - (es) 2021_03_18
 
VDI Security
VDI SecurityVDI Security
VDI Security
 
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a DesarrolloDevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
DevOps (y DevSecOps) e ITSM, el Feedback de Produccion y Seguridad a Desarrollo
 
CI integración continua
CI integración continuaCI integración continua
CI integración continua
 
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructuraDevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
DevOpsDays Madrid 2020 - Audita y evalua la seguridad de tu infraestructura
 
ALM09 - Scrum, Visual Studio y Buenas Prácticas
ALM09 - Scrum, Visual Studio y Buenas PrácticasALM09 - Scrum, Visual Studio y Buenas Prácticas
ALM09 - Scrum, Visual Studio y Buenas Prácticas
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019
 
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
 
Real CI/CD para MSDyn365FO… Be a hero!
Real CI/CD para MSDyn365FO… Be a hero!Real CI/CD para MSDyn365FO… Be a hero!
Real CI/CD para MSDyn365FO… Be a hero!
 
Caminando hacia la agilidad con Visual Studio 2010
Caminando hacia la agilidad con Visual Studio 2010Caminando hacia la agilidad con Visual Studio 2010
Caminando hacia la agilidad con Visual Studio 2010
 
SecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de desplieguesSecondNug Febrero 2012 - Automatización de despliegues
SecondNug Febrero 2012 - Automatización de despliegues
 
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOpsMeetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
Meetup Oracle Technology MAD_BCN: 6.2 DevOps y DataOps
 
Rapid Application Development con Visual Studio 2005
Rapid Application Development con Visual Studio 2005Rapid Application Development con Visual Studio 2005
Rapid Application Development con Visual Studio 2005
 
Cómo maximizar todos los beneficios traidos por la promesa de los contenedores
Cómo maximizar todos los beneficios traidos por la promesa de los contenedoresCómo maximizar todos los beneficios traidos por la promesa de los contenedores
Cómo maximizar todos los beneficios traidos por la promesa de los contenedores
 
Colorful Modern Clean Mind Map Graph.pdf
Colorful Modern Clean Mind Map Graph.pdfColorful Modern Clean Mind Map Graph.pdf
Colorful Modern Clean Mind Map Graph.pdf
 
DevOps en AWS, acelarando el desarrollo de software con Developer Tools
DevOps en AWS, acelarando el desarrollo de software con Developer ToolsDevOps en AWS, acelarando el desarrollo de software con Developer Tools
DevOps en AWS, acelarando el desarrollo de software con Developer Tools
 

Más de Nicolás Bello Camilletti

Personalizando experiencias de usuario con Reinforcement learning y Azure
Personalizando experiencias de usuario con Reinforcement learning y AzurePersonalizando experiencias de usuario con Reinforcement learning y Azure
Personalizando experiencias de usuario con Reinforcement learning y AzureNicolás Bello Camilletti
 
Creando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET CoreCreando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET CoreNicolás Bello Camilletti
 
Creando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET CoreCreando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET CoreNicolás Bello Camilletti
 

Más de Nicolás Bello Camilletti (17)

Progressive web apps
Progressive web appsProgressive web apps
Progressive web apps
 
Personalizando experiencias de usuario con Reinforcement learning y Azure
Personalizando experiencias de usuario con Reinforcement learning y AzurePersonalizando experiencias de usuario con Reinforcement learning y Azure
Personalizando experiencias de usuario con Reinforcement learning y Azure
 
Progressive Web Apps - Workshop
Progressive Web Apps - WorkshopProgressive Web Apps - Workshop
Progressive Web Apps - Workshop
 
Progressive Web Apps
Progressive Web AppsProgressive Web Apps
Progressive Web Apps
 
Progressive Web Apps
Progressive Web AppsProgressive Web Apps
Progressive Web Apps
 
Introducción a .NET Core y Docker
Introducción a .NET Core y DockerIntroducción a .NET Core y Docker
Introducción a .NET Core y Docker
 
Progressive Web Apps - .NET Conf CO 2017
Progressive Web Apps - .NET Conf CO 2017Progressive Web Apps - .NET Conf CO 2017
Progressive Web Apps - .NET Conf CO 2017
 
Progressive Web Apps
Progressive Web AppsProgressive Web Apps
Progressive Web Apps
 
Creando una SPA con Angular y ASP.NET Core
Creando una SPA con Angular y ASP.NET CoreCreando una SPA con Angular y ASP.NET Core
Creando una SPA con Angular y ASP.NET Core
 
Creando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET CoreCreando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET Core
 
Creando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET CoreCreando una SPA con Angular 2 y ASP.NET Core
Creando una SPA con Angular 2 y ASP.NET Core
 
Introducción a Docker
Introducción a DockerIntroducción a Docker
Introducción a Docker
 
Clase Html + CSS
Clase Html + CSSClase Html + CSS
Clase Html + CSS
 
Windows Azure DPE Toolkits
Windows Azure DPE ToolkitsWindows Azure DPE Toolkits
Windows Azure DPE Toolkits
 
Grails
GrailsGrails
Grails
 
Groovy.v2
Groovy.v2Groovy.v2
Groovy.v2
 
Groovy
GroovyGroovy
Groovy
 

Último

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (16)

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

Novedades en CI/CD

  • 3. Combinación de prácticas de continuous integration (CI) y continuous delivery (CD) o (menos común) continuous deployment (también CD) CI/CD = CI + (CD || CD) Delivery Deployment CI/CD
  • 4. Vamos por partes Continuous Delivery (CD) Foco en que el software este siempre listo para salir a producción, haciendo deploys a algún ambiente para probar. Continuous Deployment (CD) Similar al anterior, pero automatizando la salida a producción. O Continuous Integration (CI) ● Unir/Mergear todos nuestros cambios frecuentemente en la rama principal ● Revisiones de código ● Compilar la solución ● Correr test de unidad e integración
  • 5. En acción: completo Source Control Guardado y revisiones Desarrollo local Escribir el código Controles de seguridad Auditorias, escaneo, etc. Continuous Integration Compilación y testing automatizado Smoke testing ¿Hay algo que se nos escapó? Continuous Deployment Cuando pasan los test, pasamos a producción Continuous Delivery Deploy continuo a staging para testing de integración
  • 6. En acción: completo Source Control Guardado y revisiones Desarrollo local Escribir el código Controles de seguridad Auditorias, escaneo, etc. Continuous Integration Compilación y testing automatizado Smoke testing ¿Hay algo que se nos escapó? Continuous Deployment Cuando pasan los test, pasamos a producción Continuous Delivery Deploy continuo a staging para testing de integración
  • 7. Shift Left Source Control Guardado y revisiones Desarrollo local Escribir el código Controles de seguridad Auditorias, escaneo, etc. Continuous Integration Compilación y testing automatizado Smoke testing ¿Hay algo que se nos escapó? Continuous Deployment Cuando pasan los test, pasamos a producción Continuous Delivery Deploy continuo a staging para testing de integración
  • 9. ¿Quién no rompió producción alguna vez? Photo by Pickled Stardust on Unsplash
  • 10. ¿Como pasa esto? 1. Procesos manuales 2. Pasos manuales 3. Dependencia en estados anteriores correctos 4. Checklist de “cómo salir a producción” incompletos Photo by Pickled Stardust on Unsplash
  • 11. ¿Por qué nos interesa esto?
  • 12.
  • 13. El rendimiento de la entrega continua predice el rendimiento de la entrega de software, lo que predice el rendimiento organizacional Medido por KPIs como ● mayor cuota de mercado ● reducción del agotamiento de los empleados
  • 14. Mayor rendimiento de entrega también significa saber antes cuando algo no funciona. Photo by Dim Hou on Unsplash
  • 15.
  • 16. ¿Necesitas más motivos? Revisar DORA Catálogo de Capacidades Verificación rápida de DevOps Informe Accelerate State of DevOps 2023 y anteriores
  • 17. Desafíos de CI/CD ● Elasticidad Photo by Tobias Tullius on Unsplash
  • 18. Desafíos de CI/CD ● Elasticidad
  • 19. Desafíos de CI/CD ● Elasticidad ● Portabilidad ● Mantenimiento Photo by Tobias Tullius on Unsplash
  • 20. Soluciones “modernas” de CI/CD ● Diseñados con la portabilidad en mente ● Elásticos ● Gestionados Photo by Efe Kurnaz on Unsplash
  • 21. Seguridad de la cadena de suministro de software
  • 22. Seguridad de la cadena de suministro de software Desafíos Photo by Arno Senoner on Unsplash
  • 23. Cadena de suministro de software
  • 24. Cadena de suministro de software - ataques
  • 25. Gran dependencia del código abierto Introduce contribuyentes desconocidos y amplía la cadena de suministro Proliferación de OOS Automatización de CI/CD El desarrollo moderno aumenta la frecuencia de implementación Falta de automatización de seguridad Proliferación de imágenes base Muchos vectores de ataque La cantidad de vectores de ataque hace que esto sea difícil de proteger Difícil de entender el nivel de exposición Herramientas / Estándares Número y ritmo de los nuevos estándares No hay ninguna solución de producto de clase empresarial de extremo a extremo en el mercado Principales Desafíos
  • 26. Seguridad de la cadena de suministro de software Conceptos Photo by Arno Senoner on Unsplash
  • 27. Factores clave Procedencia ¿Dónde y cómo fue creado? Transparencia ¿Cuál es el contenido? Impacto ¿Se ven afectados? Photo by Jen Theodore on Unsplash
  • 29. Procedencia: SLSA framework Supply Chain Levels for Software Artifacts ● Open Source Security Framework ● Exteriorización del framework interno de Google ● Gobernanza abierta slsa.dev
  • 30. Procedencia: SLSA framework Supply Chain Levels for Software Artifacts slsa.dev Requisitos Foco L0 (ninguno) (n/a) L1 Procedencia mostrando cómo se construyó el paquete Errores, documentación L2 Procedencia firmada, generada por una plataforma de compilación alojada Manipulación después del build L3 Hardened build platform, isolation Manipulación durante o después el build
  • 31. Procedencia: SLSA framework Supply Chain Levels for Software Artifacts ● Builders producen un documento de procedencia firmado (aka build attestation) ● El documento incluye una definición de compilación y detalles de ejecución de la misma ● Los consumidores siguientes pueden usar este documento y tomar decisiones por policies slsa.dev
  • 33. Transparencia: SBOM Software Bill of Materials Impulsores de SBOM: ● Al producir: Cumplimiento de licencias, monitoreo de vulnerabilidades ● Al seleccionar: Análisis de seguridad dirigido, cumplimiento de políticas ● Al operar: Gestión de riesgos, mitigaciones independientes cisa.gov/sbom Software Package Data Exchange
  • 35. Impacto: VEX Vulnerability Exploitability eXchange ● El software puede contener componentes con una vulnerabilidad y, sin embargo, no ser vulnerable en sí mismo ● VEX proporciona contexto para las vulnerabilidades del software mediante declaraciones de impacto cisa.gov/sbom
  • 36. Impacto: VEX Vulnerability Exploitability eXchange ● El software puede contener componentes con una vulnerabilidad y, sin embargo, no ser vulnerable en sí mismo ● VEX proporciona contexto para las vulnerabilidades del software mediante declaraciones de impacto cisa.gov/sbom VEX Impact Statement VULNERABILITY X [AFFECTS|DOES NOT AFFECT] SOFTWARE Y [BECAUSE OF Z]
  • 38. Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
  • 39. Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
  • 41. ● Administrar la infraestructura de la estación de trabajo ● Políticas de seguridad ● Imágenes personalizadas ● Controles de VPC y VPC- Service ● Regionalizado Cloud Workstations: Managed Dev Environment DevOps Team Devs ● Bajo demanda ● Accede desde cualquier lugar ● Herramientas preconfiguradas ● Consistente en todo el equipo
  • 42. Cloud Code ● Incorpora Duet AI en tus IDE favoritos ● Detección de vulnerabilidades mientras programas ● Información procesable, pasos de resolución ● Informes de licencias
  • 43. Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
  • 44. Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
  • 46. Plataforma de automatización de DevOps flexible Sin opinión, permite ejecutar: ● CI & Builds (Containers, binarios, files, VM images) ● Integration tests ● Automated Deployments ● Infra-as-Code (terraform, helm) ● Data, ML, IoT pipelines
  • 47. Cloud Build workflow ● Ejecuta la compilación como una serie de pasos ● Cada paso es un contenedor ● Las compilaciones no tienen servidor ● Containers ● Artefactos de lenguaje (go, npm, Python, Maven, etc) /workspace Build step Build step Build step Build step Build step </> Código fuente Artefactos
  • 48. Características • Compatibilidad nativa con Docker • Integración directa con GitHub y GitLab • Compatibilidad integral con gcloud y Terraform • Tipos de activadores: manuales, webhooks y Pub/Sub • 15 tipos de máquinas y ejecuta cientos de compilaciones simultáneas por grupo • Cumplimiento del nivel 3 de SLSA • Soporte VPC • 2500 minutos gratis
  • 49. Procedencia: Cloud Build ● Procedencia de compilación automática - SLSA Nivel 3 ○ Prevención de manipulación del build ○ Generación de certificación verificable ● Security insights
  • 51. Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
  • 52. Artifact Registry es la evolución de GCR ● Gestión de artefactos de compilación escalable, confiable y segura de contenedores y paquetes ● GCP native-and-integrated ● Universal package manager (containers, language packages, OS packages y generic) ● Soporte integrado para funciones de seguridad y cumplimiento de GCP
  • 53. Artifact Registry: algunas características nuevas ● Remote Repositories ● Virtual Repositories ● Cleanup Policies
  • 54. Seguridad de la cadena de suministro de software Artifact Registry ● Repositorios virtuales y remotos ● Gobernanza de dependencia más sencilla Artifact Analysis ● Escaneo de contenedores al instante (puntuación CVSS) ● Capacidad para exportar información SBOM
  • 55. Artifact Analysis Package Scanning ● Maven ● Go ● Python ● NPM Photo by Milan Malkomes on Unsplash
  • 56. Transparencia: SBOM Software Bill of Materials Google Artifact Registry permite generar una lista de materiales de software (SBOM) utilizando las herramientas de Google Cloud o puede incorporar sus propios SBOM generados por productos de terceros.
  • 58. Runtime Google Cloud DevOps Operate Cloud Logging & Monitoring Package Artifact Registry Scanning Artifact Analysis SCM Source Repositories Build Cloud Build IDE Cloud Code Deploy Cloud Deploy
  • 59. Cloud Deploy ● Entrega continua, objetiva y gestionada: ○ Google Kubernetes Engine ○ Multi-cloud & On-prem clusters ○ Cloud Run ● Prácticas de implementación centralizada ● Énfasis en una fácil incorporación, control y acceso a métricas
  • 60. Cloud Deploy: algunas características nuevas ● Canary deploy ● Parallel deploy + Deploy parameters ● Deploy hooks
  • 61. Enfoque de seguridad de la cadena de suministro de software de Google Cloud
  • 62. Seguridad de la cadena de suministro de software
  • 63. Seguridad de la cadena de suministro de software Desarrollo ● Cloud IDE ● Conocimiento de vulnerabilidades de dependencias y licencias Suministros ● Portafolio de paquetes OSS confiables ● Análisis de vulnerabilidades ● Gobernanza de dependencias ● Pipeline de imágenes base CI/CD ● Procedencia de la compilación ● Generación de SBOM y VEX ● Evaluación de políticas ● Validación previa al vuelo ● Repositorios confiables Ejecución ● Control de admisión ● Análisis de configuración incorrecta ● Revisión continua de vulnerabilidades ● Validación de políticas Policy
  • 64. ● Considerar servicios de CI/CD administrados ● Asegurarse de que nuestro pipeline tenga protecciones contra manipulaciones ● Integrar la seguridad tempranamente ● Los pipelines de alto rendimiento conducen a mejores negocios y a ingenieros más felices Photo by Patrick Perkins on Unsplash

Notas del editor

  1. Ese mayor rendimiento de entrega (implementaciones más frecuentes) también significa que usted sabe antes cuando algo no funciona. That increased delivery performance (more frequent deploys) also means you know when something is broken, sooner.
  2. Elasticidad La mayoría de las herramientas utilizan una cantidad estática de computación las 24 horas del día, los 7 días de la semana para ejecutar compilaciones/implementaciones, lo que genera un rendimiento terrible durante el pico debido a las compilaciones en cola, y luego estás pagando por máquinas inactivas fuera del pico.
  3. Elasticidad La mayoría de las herramientas utilizan una cantidad estática de computación las 24 horas del día, los 7 días de la semana para ejecutar compilaciones/implementaciones, lo que genera un rendimiento terrible durante el pico debido a las compilaciones en cola, y luego estás pagando por máquinas inactivas fuera del pico.
  4. Mantenimiento ¿Parches de seguridad, actualizaciones, reparaciones? Todo depende de usted si no utiliza un servicio administrado.
  5. Managed service Tenemos las ventajas de no necesitar actualizar (patching maintanance) Seguridad entre ambientes (aislados)
  6. La Buena noticia es que hay mucho foco en esto, entonces aparecen nuevos estandares y equipos intentando solucionarlo
  7. ¿Dónde y cómo se creó el software? Código fuente, herramientas, sistema de compilación y personas involucradas en su desarrollo. ¿Cuál es el contenido de los artefactos de software? Paquetes, bibliotecas, sus versiones y proveedores, y las relaciones entre ellos ¿Se ven afectados mis artefactos de software? ¿Cuál es la accesibilidad potencial de cada una de las vulnerabilidades en mi software?
  8. Open Source Security Framework Lista de verificación estandarizada de controles para mejorar la integridad, evitar la manipulación y proteger la infraestructura y los artefactos de software. Open Governance Comité directivo de 7 personas, 4 grupos de trabajo, comunidad de más de 30 contribuyentes de empresas, bajo OpenSSF (Fundación Linux)
  9. Strong Isolation between nodes
  10. Definición de compilación (por ejemplo, parámetros, dependencias) Detalles de ejecución (por ejemplo, generador, metadatos).
  11. Lista de materiales del software Al producir software: Cumplimiento de licencia monitoreo de vulnerabilidades Al seleccionar el software: Análisis de seguridad dirigido cumplimiento de políticas Al operar software: Gestión de riesgos mitigaciones independientes SPDX https://spdx.dev/learn/overview/
  12. Definición de compilación (por ejemplo, parámetros, dependencias) Detalles de ejecución (por ejemplo, generador, metadatos).
  13. Definición de compilación (por ejemplo, parámetros, dependencias) Detalles de ejecución (por ejemplo, generador, metadatos).
  14. Cloud Code | Google Cloud Cloud Source Repositories  |  Cloud Source Repositories  |  Google Cloud
  15. https://cloud.google.com/workstations/ Entornos de desarrollo completamente administrados y diseñados para satisfacer las necesidades de las empresas que requieren seguridad. Mejora la seguridad de los entornos de desarrollo y acelera la integración y la productividad de los desarrolladores, incluida una integración nativa con Duet AI. Accede a entornos de desarrollo seguros y rápidos en cualquier momento mediante el navegador o el IDE local Permite que los administradores aprovisionen, escalen, administren y protejan los entornos de desarrollo con facilidad Personaliza los entornos de desarrollo con tu IDE preferido y a través de imágenes de contenedor personalizadas Compila aplicaciones más rápido con la asistencia potenciada por IA de Duet AI
  16. https://cloud.google.com/code/?hl=es-419 Cloud Code es un conjunto de complementos de IDE asistido por IA para IDE populares que facilitan la creación, la implementación y la integración de aplicaciones en Google Cloud. Duet AI se integra en Cloud Code para proporcionar asistencia con IA directamente en tu IDE. Compatible con tu IDE favorito: VSCode, IDE de JetBrains, Cloud Workstations y Cloud Shell Editor Incorpora Duet AI en tus IDE favoritos Acelera el desarrollo en GKE y Cloud Run con la integración de Skaffold. Simplifica la creación de archivos de configuración para los servicios y las tecnologías de Google Cloud. Facilita la integración de las APIs de Cloud y el trabajo con los servicios de Google Cloud en tu IDE. Secure protect  preview
  17. Cloud Code | Google Cloud Cloud Source Repositories  |  Cloud Source Repositories  |  Google Cloud Diseña, desarrolla y gestiona de forma segura tu código Colabora fácilmente en repositorios de Git escalables y privados, con todas las prestaciones incluidas. Amplía tu flujo de trabajo de Git al conectarte a otras herramientas de Google Cloud
  18. Cloud Build serverless CI/CD platform | Google Cloud
  19. GitHub y GitHub Enterprise, GitLab y GitLab Enterprise Edition Soporte integrado para cargar paquetes npm en Artifact Registry automáticamente y generar niveles de cadena de suministro para artefactos de software (SLSA) de nivel 3 de procedencia de compilación. El tipo de máquina e2-medium ahora se admite como tipo de máquina personalizada que puede especificar en su archivo de configuración de compilación cloudbuild.yaml.
  20. Artifact Registry  |  Google Cloud Artifact analysis and vulnerability scanning  |  Artifact Registry documentation  |  Google Cloud
  21. GCP native-and-integrated Managed, scalable, reliable AR-specific permission Regional GKE Image Streaming Integrated with gcloud and Cloud Console UI Universal package manager Containers (Docker, OCI-compliant, podman, helm charts) Language pkgs (Maven, npm, Python, Go) OS pkgs (apt, yum) Generic* With built-in support for GCP security and compliance features Regionalization, Data residency CMEK VPC-SC Cloud Audit logging and Access Transparency Container vulnerability scanning
  22. Remote Repositories V1.0 Manage public dependencies from Dockerhub, Maven Central, PyPi and npmjs with high availability, low latency & curation + control Virtual Repositories Expose combination of repositories of various types through a universal endpoint for Maven & Python formats Cleanup Policies Automated cleanup based on artifact age, tagging and versions
  23. Lista de materiales del software Al producir software: Cumplimiento de licencia monitoreo de vulnerabilidades Al seleccionar el software: Análisis de seguridad dirigido cumplimiento de políticas Al operar software: Gestión de riesgos mitigaciones independientes SPDX https://spdx.dev/learn/overview/
  24. Cloud Deploy - Fully Managed Continuous Delivery | Google Cloud
  25. A diferencia de cloud build, acá hay opiniones
  26. Canary deploy Now you can create percentage-based deployments with (optional) verification which can be used to safely deploy new releases into a target. Vs blue-green: The main difference is that blue-green deployments switch all the traffic from the old version (blue) to the new version (green) at once, while canary deployments gradually expose a small percentage of the traffic to the new version (canary) and monitor its performance and user behavior before rolling it out to the rest Parallel deploy Now you can concurrently deploy to all targets in a group, with discrete observability and manageability Deploy parameters Deploy parameters allow you to specify key value replacements to be applied before deployment. The replacements can be associated directly to a target, matched as part of a delivery pipeline’s progression sequence, or passed in upon release creation. Deploy parameter uses include: differentiating child-target deploy manifests with a delivery pipeline as part of a parallel deploy, configuring a deploy manifest value that should always be applied for a given target, such as a region-specific setting applying a value to all target deploy manifests at release creation, such as including a commit SHA with all deployed manifest Deploy hooks Specify pre, post, or both - ‘deploy hooks’ Operation(s) to perform before or after deployment Multiple specifiable; can be performed serially, parallel, or a combination Can be performed with any deploy strategy All target types supported
  27.  Time-tested practices (with open standards)  Incremental adoption