Saltar al contenido principal

Informe de desarrollo técnico con enfoque en #DevSecOps, por Klever CTO Bruno Campos

Jose Luis
Actualización

Bienvenido a la segunda edición de nuestro Informe de progreso de desarrollo técnico, donde profundizaremos en nuestro equipo #devsecops y veremos qué más está construyendo, optimizando y lanzando el equipo técnico de Klever.

Esta semana me siento muy emocionado de mantenerme en contacto con nuestra increíble comunidad a través de este canal, manteniéndolos informados sobre lo que estamos haciendo detrás de escena.

El equipo técnico de Klever mantuvo un gran rendimiento y una alta productividad en todos los equipos y productos durante la semana pasada. Pero hoy, hablaré un poco más sobre uno de los escuadrones y equipos más cruciales en Klever y nuevo en este informe de progreso:#DevSecOps.

Antes de hablar sobre el escuadrón #devsecops, permítanme aclarar que aquí en Klever, nuestro equipo técnico está organizado en escuadrones enfocados en diferentes productos y componentes técnicos.

Contamos con numerosos equipos dedicados a productos específicos, y otros equipos formados por especialistas en tecnología y expertos en sus campos de ingeniería blockchain, arquitectura de seguridad y programación informática.

Por ejemplo, el equipo de Klever Exchange tiene especialistas cruzados como #devsecops, #QA (Quality Assurance) y #UI (User Interface), además de ingenieros y especialistas de software frontend, backend y fullstack, así como gerentes de producto.

Este equipo está completamente enfocado en agregar valor al negocio de Klever Exchange y tiene todo el poder y los recursos a su disposición para lograr sus objetivos.

También tenemos el equipo #devsecops que está completamente enfocado en desarrollar la tecnología de infraestructura y expandir la arquitectura de software utilizada por toda la empresa, en todas las aplicaciones y productos de Klever. Llamamos a este modelo "escuadrones de escuadrones" y es el propio modelo de Klever de los conocidos "escuadrones autónomos" desarrollados por Spotify.

Metodologia squad: o que é e quais são seus benefícios? - Blog ImpulseUP

Todos los equipos, desde #HR hasta #devsevops, son dirigidos por gerentes que utilizan una metodología ágil con sprints semanales o quincenales. Toda la empresa funciona como un reloj aprovechando la metodología ágil para mantener los productos en línea con las necesidades de la comunidad y los cambios del mercado.

Entonces, finalmente hablemos sobre nuestro escuadrón #devsecops. Este asombroso grupo de apasionados profesionales está compuesto por especialistas mixtos:

  • Especialistas en seguridad cibernética
  • Ingenieros de DevOps
  • Ingenieros de confiabilidad del sitio

Los especialistas en Cyber Seguridad se centran en mantener seguros todos los sistemas e infraestructuras y cumplir con las necesidades comerciales de los productos Klever. Por lo tanto, realizan pruebas de penetración constantes y repetidas, piratería ética y análisis de código para garantizar que estamos a salvo. Una parte esencial de nuestra arquitectura de seguridad cibernética y un componente crucial para mantener seguros a nuestros usuarios globales.

Los ingenieros de DevOps se centran en promover el código desde los ingenieros de software hasta la producción. Por lo que son responsables de diseñar e implementar el proceso y las herramientas necesarias para integrar el código con las garantías definidas por #QA, #ciberseguridad y gerentes de productos, en base a los valores y necesidades comerciales recogidos de los stakeholders y miembros de la comunidad.

Los ingenieros de confiabilidad del sitio se centran en agregar la mejor experiencia de usuario en términos de uso de la tecnología y la infraestructura. Entonces, son responsables de:

  • Atacando la infraestructura como ingenieros de software
  • Desarrollar herramientas de automatización para reaccionar ante problemas comunes de la infraestructura de TI
  • Desarrollar software para mejorar la TI y el soporte en sus trabajos
  • Solucionar problemas de escalada de soporte
  • Documentar las mejores prácticas para el diseño de software
  • Mejorar el rendimiento del software y realizar revisiones posteriores al incidente.

Veamos qué ha estado haciendo el escuadrón #devsecops:

  • Code Analysis (SAST, DAST and SCA): Estamos probando varias herramientas (8 en este momento) y nos dimos cuenta de que como Golang no es tan maduro como otros lenguajes en el mercado como Java, JavaScript o Python, y la mayoría de las herramientas de pago disponibles en el mercado no funcionarán como se esperaba. Confiar en varios OSS (sistemas de soporte de operaciones) parece prometedor, pero como organización necesitamos una plataforma central para gestionar los problemas descubiertos por tales soluciones, Embold (https://embold.io) ofrece esta experiencia exacta.

  • Infrastructure Analysis:Para esto, estamos probando solo Palo Alto y muy contentos con los resultados iniciales, esta herramienta nos brinda características como:

    • Policy Enforcement: Asegúrese de que las configuraciones de la nube y las cargas de trabajo se ejecuten en la configuración proporcionada por las reglas personalizadas del usuario o conocidas públicamente.

    • Compliance Enforcement:Asegúrese de que las configuraciones y cargas de trabajo de la nube se ejecuten en la configuración mediante certificados y cumplimientos conocidos públicamente, como: PCI-DSS, LGPD, GDPR y muchos otros.

  • On-Call Operators Shift: Hemos integrado nuestro sistema de monitoreo con Squadcast (https://www.squadcast.com) sistema de gestión de guardia y estableció un horario fuera del horario comercial para que los operadores estén disponibles para resolver problemas técnicos y hayan definido políticas de escalamiento más eficientes para garantizar que cada incidente se resuelva muy rápido.

  • Blockchains Status Page: Hemos puesto a disposición páginas de estado sobre nuestros servicios públicos creadas automáticamente para que las compartamos con las partes interesadas, internas o externas. (https://chain-status.klever.io)

  • Notification on Blockchains Releases:Para que podamos automatizar las actualizaciones de nuestros nodos administrados de blockchain, primero crearemos una fuente de eventos para el lanzamiento de nuevas versiones de dichos recursos. Actualmente estamos probando un OSS que nos notificará cada vez que haya una nueva versión disponible.

  • Load Test on Exchange Manager Service:Para asegurarnos de no tropezar con cuellos de botella después de lanzar públicamente la aplicación Exchange, estamos ejecutando pruebas de carga en los servicios expuestos, a los que los usuarios acceden directamente y retroalimentamos a los desarrolladores con las mejoras que se pueden hacer para que podamos ser altamente escalables.

Klever DevSecOps

 

A continuación se muestra el progreso semanal de los demás productos y equipos técnicos de Klever.

Klever Exchange

Klever Exchange Parte 2

Klever Wallet App

Klever Bank

Klever Workspace

 

Klever Bots

 

Espero que haya disfrutado escuchando más sobre #devsecops esta semana y el progreso técnico general realizado por nuestro equipo. ¡No puedo esperar a verte la semana que viene!

Atentamente,

Bruno Campos

CTO en Klever