Aller au contenu principal

Rapport de développement technique avec un accent sur #DevSecOps, par Klever CTO Bruno Campos

R3m Br@k | Klever
Mise à jour

Bienvenue dans la deuxième édition de notre rapport d'avancement du développement technique où nous approfondirons notre équipe #devsecops et verrons ce que l'équipe technique de Klever construit, optimise et lance de plus.

Cette semaine, je me sens tellement excité de rester en contact avec notre incroyable communauté via cette chaîne, en vous tenant au courant de ce que nous faisons dans les coulisses.

L'équipe technique de Klever a conservé une excellente performance et une productivité élevée dans toutes les équipes et tous les produits au cours de la semaine dernière. Mais aujourd'hui, je vais parler un peu plus en détail de l'une des escouades et équipes les plus cruciales de Klever et de la nouveauté de ce rapport d'étape: #DevSecOps.

Avant de parler de l'équipe #devsecops, permettez-moi de préciser qu'ici chez Klever, toute notre équipe technique est organisée en équipes axées sur différents produits ainsi que sur des composants techniques.

Nous avons de nombreuses équipes dédiées à des produits spécifiques et d'autres équipes composées de spécialistes de la technologie et d'experts dans leurs domaines de l'ingénierie de la blockchain, de l'architecture de sécurité et de la programmation informatique.

Par exemple, l'équipe Klever Exchange compte des spécialistes croisés tels que #devsecops, #QA (assurance qualité) et #UI (interface utilisateur), en plus d'ingénieurs et de spécialistes en logiciels frontend, backend et fullstack, ainsi que des chefs de produit.

Cette équipe se concentre entièrement sur l'agrégation de valeur pour l'entreprise Klever Exchange et dispose de toute la puissance et des ressources nécessaires pour atteindre ses objectifs.

Nous avons également l'équipe #devsecops qui se concentre entièrement sur le développement de la technologie d'infrastructure et étend l'architecture logicielle utilisée par toute l'entreprise, à travers toutes les applications et tous les produits Klever. Nous appelons ce modèle des «escouades d'escouades» et c'est le propre modèle de Klever des «escouades autonomes» bien connues développées par Spotify.

Metodologia squad: o que é e quais são seus benefícios? - Blog ImpulseUP

Toutes les équipes, de #HR à #devsevops sont dirigées par des managers utilisant une méthodologie agile avec des sprints hebdomadaires ou bihebdomadaires. Toute l'entreprise fonctionne comme une horloge tirant parti de la méthodologie agile pour maintenir les produits en phase avec les besoins de la communauté et les changements du marché.

Alors, enfin, parlons de notre équipe #devsecops. Cet incroyable groupe de professionnels passionnés est composé de spécialistes mixtes:

-Spécialistes de la sécurité cybernétique

-Ingénieurs DevOps

-Ingénieurs en fiabilité des sites

Les spécialistes de la cybersécurité se concentrent sur le maintien de la sécurité de tous les systèmes et infrastructures et de leur conformité aux besoins commerciaux des produits Klever. Ainsi, ils font des tests de pénétration constants et répétés, du piratage éthique et des analyses de code pour s'assurer que nous sommes en sécurité! Un élément essentiel de notre architecture de cybersécurité et un élément crucial pour assurer la sécurité de nos utilisateurs mondiaux.

Les ingénieurs DevOps se concentrent sur la promotion du code des ingénieurs logiciels à la production. Ils sont donc responsables de la conception et de la mise en œuvre du processus et des outils nécessaires pour intégrer le code avec les garanties définies par les #QA, #cybersecurity et les responsables produits, en fonction des valeurs métiers et des besoins collectés auprès des parties prenantes et des membres de la communauté.

Les ingénieurs de fiabilité du site se concentrent sur l'agrégation de la meilleure expérience utilisateur en termes d'utilisation de la technologie et de l'infrastructure. Ainsi, ils sont responsables de:

-Attaquer l'infrastructure en tant qu'ingénieurs logiciels

-Développement d'outils d'automatisation pour réagir aux problèmes courants d'infrastructure informatique

-Construction de logiciels pour améliorer l'informatique et le support dans leur travail

-Résolution des problèmes d'escalade du support

-Documentation des meilleures pratiques pour la conception de logiciels

-Amélioration des performances logicielles et réalisation de revues post-incident.

Voyons ce que l'équipe #devsecops a fait:

  • Analyse de code (SAST, DAST et SCA): Nous testons plusieurs outils (8 pour le moment) et nous nous rendons compte que Golang n'est pas aussi mature que d'autres langages du marché tels que Java, JavaScript ou Python, et la plupart des outils payants disponibles sur le marché ne fonctionnera pas comme prévu. S'appuyer sur plusieurs OSS (Operations Support Systems) semble prometteur, mais en tant qu'organisation, nous avons besoin d'une plate-forme centrale pour gérer les problèmes découverts par de telles solutions, Embold (https://embold.io) offre cette expérience exacte.

  • Analyse de l'infrastructure: Pour cela, nous testons uniquement Palo Alto et très satisfaits des premiers résultats, cet outil nous offre des fonctionnalités telles que:

    Application des stratégies: assurez-vous que les configurations cloud et les charges de travail s'exécutent sur les paramètres fournis par des règles connues du public ou personnalisées par l'utilisateur.

    Application de la conformité: assurez-vous que les configurations cloud et les charges de travail s'exécutent sur des paramètres par des conformités et des certificats connus du public, tels que: PCI-DSS, LGPD, GDPR et bien d'autres.

  • Changement d'opérateurs sur appel: Nous avons intégré notre système de surveillance avec le système de gestion des appels Squadcast (https://www.squadcast.com) et établi un calendrier en dehors des heures ouvrables pour que les opérateurs soient disponibles pour résoudre les problèmes techniques et avons défini des politiques d'escalade plus efficaces pour garantir que chaque incident sera résolu très rapidement.

  • Page d'état des chaînes de blocs: Nous avons mis à disposition des pages d'état sur nos services publics automatiquement construites pour que nous les partagions avec les parties prenantes, internes ou externes. (https://chain-status.klever.io)

  • Notification sur les versions de blockchains: Pour que nous puissions automatiser les mises à niveau de nos nœuds gérés par blockchain, nous allons d'abord créer une source d'événements pour la publication de nouvelles versions de ces ressources. Nous testons actuellement un OSS qui nous avertira chaque fois qu'une nouvelle version est disponible.

  • Test de charge sur le service Exchange Manager: pour être sûr de ne pas tomber sur des goulots d'étranglement après la publication publique de l'application Exchange, nous exécutons des tests de charge sur les services exposés, auxquels les utilisateurs accèdent directement et qui transmettent aux développeurs les améliorations qui peuvent être apportées. pour que nous soyons hautement évolutifs.

Klever DevSecOps

 

Voici les progrès hebdomadaires des autres produits et équipes techniques de Klever.

Klever Exchange

Klever Exchange Part 2

Klever Wallet App

Klever Bank

Klever Workspace

 

Klever Bots

 

J'espère que vous avez aimé en savoir plus sur #devsecops cette semaine et sur les progrès techniques généraux réalisés par notre équipe. J'ai hâte de vous voir la semaine prochaine!

Sincèrement,

Bruno Campos

CTO chez Klever

 

Télécharger Klever App