SlideShare une entreprise Scribd logo

OpenDevSecOps 2019 - Open devsecops un caso di studio

Télécharger en tant que PPTX, PDF
Emerasoft, solutions to collaborate
Emerasoft, solutions to collaborate

Emerasoft ci racconta un caso di studio in ambito Pubblica Amministrazione sul tema DevOps

Technologie
1  sur  19
Open DevSecOps 2019 Un caso di studio
Marco Pantano ALM Specialist, Emerasoft Principali competenze: • Release Management • Configuration Management • Build&Deploy Automation PRESENTAZIONE
Cliente Login al portale nel 201830M ● 15M di richieste di servizi online Team di sviluppo 100 + ● Diversi fornitori ● Evoluzioni in parallelo ● 10000 Build propedeutiche al collaudo all’anno Applicazioni 700 + ● 90% Java ● 5% .NET ● 5% Angular Login al portale nel 2018 150 M ● 46% in evoluzioni ● 48% in manutenzione e servizi ● 6% altri servizi Budget a consuntivo 2018
● Cliente: Primario Ente pubblico contesto Enterprise ● Progetto: DevOps Adoption Roadmap ● Stato Progetto: in corso Contesto
Anno 2011 - Importante ente pubblico italiano individua le seguenti criticità: ➢ Assenza di processi condivisi per lo sviluppo e il rilascio del software ➢ Mancata tracciatura delle attività di sviluppo e rilascio ➢ Comunicazioni tra il mondo Dev e Ops a mezzo email ➢ Assenza di un repository condiviso del codice sorgente ➢ Assenza di procedure automatizzate di build, test e deploy SCENARIO
➢ Il cliente ha la necessità di modificare le proprie modalità operative senza subire rallentamenti sulle attività correnti ➢ Il cliente ritiene prioritaria la creazione di propri repository del codice sorgente e degli artefatti buildati per aver modo di governare al meglio i propri Asset software ➢ Il cliente ritiene prioritaria l’implementazione dei processi di pianificazione, rilascio in collaudo, certificazione e produzione ➢ Il cliente vuole consentire l’esecuzione delle attività di deploy solo se esplicitamente richieste attraverso un’opportuna richiesta di deploy Linee guida - 1
➢ Il cliente vuole costruire una propria Build Automation toolchain ➢ Il cliente vorrebbe automatizzare i test ➢ Il cliente vorrebbe dotarsi di strumenti di virtualizzazione di servizi per automatizzare il provisioning degli ambienti di Integrazione e Q&A ➢ Il cliente vuole arrivare a lavorare in modalità DevOps Linee guida - 2
DevOps roadmap adoption - 1
DevOps roadmap adoption - 2
Conclusione? Nuove criticità ➢ Automatizzazione vista come un pericolo integrità di funzionalità e dati ➢ Decomposizione in microservizi rende complessa la messa in sicurezza degli applicativi nostalgia della sicurezza perimetrale sull’intero monolite ➢ Difficoltà nel superamento dell’organizzazione a silos responsabilità Vs collaborazione Resistenza al cambiamento
Conclusione? Nuove criticità ➢ Elevata complessità della nuova architettura a microservizi ➢ Nuove modalità di ripartizione dei costi in tema di controllo di gestione ➢ Difficoltà di natura contrattuale con i fornitori Necessità di nuove competenze
Nuovo approccio Tavolo DevOps ➢ Condivisione genera cultura ➢ Definizione delle nuove modalità operative basate su un progetto reale ➢ Scelte basate sul livello di maturità Competence Center DevOps ➢ Definizione di standard architetturali e di processo ➢ Diffusione delle best practices ➢ Supporto metodologico
Dal monolite ai microservizi
Mediated API Pattern
Mediated API Pattern ➢ OUTER APIs ○ Interfacce esposte ad applicazioni e servizi esterni al proprio dominio ○ Gestite dall’Api Gateway ○ Pubblicate come RESTful APIs ➢ INNER APIs ○ Interfacce esposte e fruite dai microservizi stessi ○ Definiscono la modalità di invocazione del microservizio da parte del gateway ○ Definiscono come i microservizi comunicano tra loro ○ Possono essere: ■ sincrone: tipicamente RESTful, si aspetta la risposta a fronte della richiesta ■ asincrone: event driven, modello publisher-subscribe
DevSecOps toolchain Sorgenti Swagger Build binari Build docker image Risolve dipendenze Pubblica binari Reperisce base image Push del binario nell’immagine Pubblica immagine Build time Deploy time Reperisce immagine Orchestrazione Pubblicazione swagger Reperisce artetatti npm angula Pubblicazione SPA
SEC ➢ Unico punto di accesso alle librerie di terze parti open ➢ Utilizzo delle funzionalità Lifecycle ○ ricerca vulnerabilità di sicurezza a tempo di build ○ generazione ACR ○ gestione dello stato delle vulnerabilità ○ continuous monitoring delle applicazioni in produzione ➢ Utilizzo degli staging per i binari e le immagini docker ○ Build->Sviluppo>Collaudo->Certificazione-Produzione ○ Release su Hosted Repository ➢ Utilizzo firewall
Conclusione ➢ Nel settore pubblico esistono realtà che puntano sull’innovazione ➢ E’ necessario individuare il proprio livello di maturità ➢ Le decisioni strategiche vanno prese in funzione del proprio livello di maturità ➢ E’ necessario lavorare costantemente al miglioramento delle proprie competenze ➢ L’eliminazione delle logiche organizzative a silos deve portare alla collaborazione concreta tra diversi fornitori
Open DevSecOps 2019 Un caso di studio

Recommandé

Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Profesia Srl, Lynx Group
 
Slide vincenzo masullo
Slide vincenzo masulloSlide vincenzo masullo
Slide vincenzo masullovinc3nt83
 
Framework per la realizzazione di ria
Framework per la realizzazione di riaFramework per la realizzazione di ria
Framework per la realizzazione di riaLorenzo Bortolotto
 
Rich client application: MVC4 + MVVM = Knockout.js
Rich client application: MVC4 + MVVM = Knockout.jsRich client application: MVC4 + MVVM = Knockout.js
Rich client application: MVC4 + MVVM = Knockout.jsGiorgio Di Nardo
 
CI/CD - Presentazione Introduttiva
CI/CD - Presentazione IntroduttivaCI/CD - Presentazione Introduttiva
CI/CD - Presentazione IntroduttivaMatteo Di Carlo
 
Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010Mauro Servienti
 
Anatomia di un progetto open-source
Anatomia di un progetto open-sourceAnatomia di un progetto open-source
Anatomia di un progetto open-sourceBergamo Linux Users Group
 
.NET Core, ASP.NET Core e Linux per il Mobile
.NET Core, ASP.NET Core e Linux per il Mobile.NET Core, ASP.NET Core e Linux per il Mobile
.NET Core, ASP.NET Core e Linux per il MobilePietro Libro
 

Recommandé

Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Profesia Srl, Lynx Group
 
Slide vincenzo masullo
Slide vincenzo masulloSlide vincenzo masullo
Slide vincenzo masullovinc3nt83
 
Framework per la realizzazione di ria
Framework per la realizzazione di riaFramework per la realizzazione di ria
Framework per la realizzazione di riaLorenzo Bortolotto
 
Rich client application: MVC4 + MVVM = Knockout.js
Rich client application: MVC4 + MVVM = Knockout.jsRich client application: MVC4 + MVVM = Knockout.js
Rich client application: MVC4 + MVVM = Knockout.jsGiorgio Di Nardo
 
CI/CD - Presentazione Introduttiva
CI/CD - Presentazione IntroduttivaCI/CD - Presentazione Introduttiva
CI/CD - Presentazione IntroduttivaMatteo Di Carlo
 
Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010Mauro Servienti
 
Anatomia di un progetto open-source
Anatomia di un progetto open-sourceAnatomia di un progetto open-source
Anatomia di un progetto open-sourceBergamo Linux Users Group
 
.NET Core, ASP.NET Core e Linux per il Mobile
.NET Core, ASP.NET Core e Linux per il Mobile.NET Core, ASP.NET Core e Linux per il Mobile
.NET Core, ASP.NET Core e Linux per il MobilePietro Libro
 
AgileIoT, agile meets IoT - MEC 2016
AgileIoT, agile meets IoT - MEC 2016AgileIoT, agile meets IoT - MEC 2016
AgileIoT, agile meets IoT - MEC 2016Felice Pescatore
 
GdG DevFestMed 2016 - 06/11/2016
GdG DevFestMed 2016 - 06/11/2016GdG DevFestMed 2016 - 06/11/2016
GdG DevFestMed 2016 - 06/11/2016Gaetano Paternò
 
Progetto Linux va a scuola - Descrizione tecnica
Progetto Linux va a scuola - Descrizione tecnicaProgetto Linux va a scuola - Descrizione tecnica
Progetto Linux va a scuola - Descrizione tecnicaBergamo Linux Users Group
 
Plone: Accessibilita e Riuso
Plone: Accessibilita e RiusoPlone: Accessibilita e Riuso
Plone: Accessibilita e RiusoPlone for Research and University
 
Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Piero Sbressa
 
DevOpsHerous 2016 - 29/10/2016
DevOpsHerous 2016 - 29/10/2016DevOpsHerous 2016 - 29/10/2016
DevOpsHerous 2016 - 29/10/2016Gaetano Paternò
 
I linguaggi di programmazione e il mondo open-source
I linguaggi di programmazione e il mondo open-sourceI linguaggi di programmazione e il mondo open-source
I linguaggi di programmazione e il mondo open-sourceBergamo Linux Users Group
 
Unofficial Xamarin Day DomusDotNet
Unofficial Xamarin Day DomusDotNetUnofficial Xamarin Day DomusDotNet
Unofficial Xamarin Day DomusDotNetGaetano Paternò
 
Progetto Linux va a scuola
Progetto Linux va a scuolaProgetto Linux va a scuola
Progetto Linux va a scuolaBergamo Linux Users Group
 
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVM
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVMRealizzare applicazioni cross-platform con Xamarin e il pattern MVVM
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVMCodemotion
 
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Emerasoft, solutions to collaborate
 
Slide Mulesoft Meetup Milano #10.pdf
Slide Mulesoft Meetup Milano #10.pdfSlide Mulesoft Meetup Milano #10.pdf
Slide Mulesoft Meetup Milano #10.pdfFlorence Consulting
 
API Transformation in Crédit Agricole Italia
API Transformation in Crédit Agricole ItaliaAPI Transformation in Crédit Agricole Italia
API Transformation in Crédit Agricole ItaliaProfesia Srl, Lynx Group
 
Designing with microservices - Daniele Mondello
Designing with microservices - Daniele MondelloDesigning with microservices - Daniele Mondello
Designing with microservices - Daniele MondelloDaniele Mondello
 
Tesi8
Tesi8Tesi8
Tesi8tryyrt
 
SUE AGILE Framework (Italiano)
SUE AGILE Framework (Italiano)SUE AGILE Framework (Italiano)
SUE AGILE Framework (Italiano)Sabino Labarile
 
Cert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsCert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsDotNetCampus
 
Cert04 70-484 - essentials of developing windows store apps
Cert04 70-484 - essentials of developing windows store appsCert04 70-484 - essentials of developing windows store apps
Cert04 70-484 - essentials of developing windows store appsDotNetCampus
 
Milano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfMilano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfFlorence Consulting
 
LARUS 10th - Rampado Omar
LARUS 10th - Rampado OmarLARUS 10th - Rampado Omar
LARUS 10th - Rampado OmarLARUS Business Automation
 
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...Profesia Srl, Lynx Group
 
Infrastructure as Code e metodologia DevOps
Infrastructure as Code e metodologia DevOpsInfrastructure as Code e metodologia DevOps
Infrastructure as Code e metodologia DevOpsPietro Ciotola
 

Contenu connexe

Tendances

AgileIoT, agile meets IoT - MEC 2016
AgileIoT, agile meets IoT - MEC 2016AgileIoT, agile meets IoT - MEC 2016
AgileIoT, agile meets IoT - MEC 2016Felice Pescatore
 
GdG DevFestMed 2016 - 06/11/2016
GdG DevFestMed 2016 - 06/11/2016GdG DevFestMed 2016 - 06/11/2016
GdG DevFestMed 2016 - 06/11/2016Gaetano Paternò
 
Progetto Linux va a scuola - Descrizione tecnica
Progetto Linux va a scuola - Descrizione tecnicaProgetto Linux va a scuola - Descrizione tecnica
Progetto Linux va a scuola - Descrizione tecnicaBergamo Linux Users Group
 
Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Piero Sbressa
 
DevOpsHerous 2016 - 29/10/2016
DevOpsHerous 2016 - 29/10/2016DevOpsHerous 2016 - 29/10/2016
DevOpsHerous 2016 - 29/10/2016Gaetano Paternò
 
I linguaggi di programmazione e il mondo open-source
I linguaggi di programmazione e il mondo open-sourceI linguaggi di programmazione e il mondo open-source
I linguaggi di programmazione e il mondo open-sourceBergamo Linux Users Group
 
Unofficial Xamarin Day DomusDotNet
Unofficial Xamarin Day DomusDotNetUnofficial Xamarin Day DomusDotNet
Unofficial Xamarin Day DomusDotNetGaetano Paternò
 
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVM
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVMRealizzare applicazioni cross-platform con Xamarin e il pattern MVVM
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVMCodemotion
 

Tendances (10)

AgileIoT, agile meets IoT - MEC 2016
AgileIoT, agile meets IoT - MEC 2016AgileIoT, agile meets IoT - MEC 2016
AgileIoT, agile meets IoT - MEC 2016
 
GdG DevFestMed 2016 - 06/11/2016
GdG DevFestMed 2016 - 06/11/2016GdG DevFestMed 2016 - 06/11/2016
GdG DevFestMed 2016 - 06/11/2016
 
Progetto Linux va a scuola - Descrizione tecnica
Progetto Linux va a scuola - Descrizione tecnicaProgetto Linux va a scuola - Descrizione tecnica
Progetto Linux va a scuola - Descrizione tecnica
 
Plone: Accessibilita e Riuso
Plone: Accessibilita e RiusoPlone: Accessibilita e Riuso
Plone: Accessibilita e Riuso
 
Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015
 
DevOpsHerous 2016 - 29/10/2016
DevOpsHerous 2016 - 29/10/2016DevOpsHerous 2016 - 29/10/2016
DevOpsHerous 2016 - 29/10/2016
 
I linguaggi di programmazione e il mondo open-source
I linguaggi di programmazione e il mondo open-sourceI linguaggi di programmazione e il mondo open-source
I linguaggi di programmazione e il mondo open-source
 
Unofficial Xamarin Day DomusDotNet
Unofficial Xamarin Day DomusDotNetUnofficial Xamarin Day DomusDotNet
Unofficial Xamarin Day DomusDotNet
 
Progetto Linux va a scuola
Progetto Linux va a scuolaProgetto Linux va a scuola
Progetto Linux va a scuola
 
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVM
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVMRealizzare applicazioni cross-platform con Xamarin e il pattern MVVM
Realizzare applicazioni cross-platform con Xamarin e il pattern MVVM
 

Similaire à OpenDevSecOps 2019 - Open devsecops un caso di studio

Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Emerasoft, solutions to collaborate
 
Slide Mulesoft Meetup Milano #10.pdf
Slide Mulesoft Meetup Milano #10.pdfSlide Mulesoft Meetup Milano #10.pdf
Slide Mulesoft Meetup Milano #10.pdfFlorence Consulting
 
API Transformation in Crédit Agricole Italia
API Transformation in Crédit Agricole ItaliaAPI Transformation in Crédit Agricole Italia
API Transformation in Crédit Agricole ItaliaProfesia Srl, Lynx Group
 
Designing with microservices - Daniele Mondello
Designing with microservices - Daniele MondelloDesigning with microservices - Daniele Mondello
Designing with microservices - Daniele MondelloDaniele Mondello
 
SUE AGILE Framework (Italiano)
SUE AGILE Framework (Italiano)SUE AGILE Framework (Italiano)
SUE AGILE Framework (Italiano)Sabino Labarile
 
Cert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsCert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsDotNetCampus
 
Cert04 70-484 - essentials of developing windows store apps
Cert04 70-484 - essentials of developing windows store appsCert04 70-484 - essentials of developing windows store apps
Cert04 70-484 - essentials of developing windows store appsDotNetCampus
 
Milano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfMilano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfFlorence Consulting
 
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...Profesia Srl, Lynx Group
 
Infrastructure as Code e metodologia DevOps
Infrastructure as Code e metodologia DevOpsInfrastructure as Code e metodologia DevOps
Infrastructure as Code e metodologia DevOpsPietro Ciotola
 
Un backend per tutte le stagioni con Spring
Un backend per tutte le stagioni con SpringUn backend per tutte le stagioni con Spring
Un backend per tutte le stagioni con SpringMarcello Teodori
 
Meetup Progressive Web App
Meetup Progressive Web AppMeetup Progressive Web App
Meetup Progressive Web Appdotnetcode
 
Meetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web AppMeetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web Appdotnetcode
 
Blazor ha vinto? Storie di casi reali
Blazor ha vinto? Storie di casi realiBlazor ha vinto? Storie di casi reali
Blazor ha vinto? Storie di casi realiAndrea Dottor
 
e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)Sabino Labarile
 
Red Hat OpenShift: l'abilitatore della Cloud Native Enterprise
Red Hat OpenShift: l'abilitatore della Cloud Native EnterpriseRed Hat OpenShift: l'abilitatore della Cloud Native Enterprise
Red Hat OpenShift: l'abilitatore della Cloud Native EnterpriseKiratech
 

Similaire à OpenDevSecOps 2019 - Open devsecops un caso di studio (20)

Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
 
Slide Mulesoft Meetup Milano #10.pdf
Slide Mulesoft Meetup Milano #10.pdfSlide Mulesoft Meetup Milano #10.pdf
Slide Mulesoft Meetup Milano #10.pdf
 
API Transformation in Crédit Agricole Italia
API Transformation in Crédit Agricole ItaliaAPI Transformation in Crédit Agricole Italia
API Transformation in Crédit Agricole Italia
 
Designing with microservices - Daniele Mondello
Designing with microservices - Daniele MondelloDesigning with microservices - Daniele Mondello
Designing with microservices - Daniele Mondello
 
Tesi8
Tesi8Tesi8
Tesi8
 
SUE AGILE Framework (Italiano)
SUE AGILE Framework (Italiano)SUE AGILE Framework (Italiano)
SUE AGILE Framework (Italiano)
 
Cert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsCert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applications
 
Cert04 70-484 - essentials of developing windows store apps
Cert04 70-484 - essentials of developing windows store appsCert04 70-484 - essentials of developing windows store apps
Cert04 70-484 - essentials of developing windows store apps
 
Milano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdfMilano Meetups XIII - Official.pdf
Milano Meetups XIII - Official.pdf
 
LARUS 10th - Rampado Omar
LARUS 10th - Rampado OmarLARUS 10th - Rampado Omar
LARUS 10th - Rampado Omar
 
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
WSO2 ITALIA SMART TALK #5 - APIFICATION: OPPORTUNITÀ DELLE ORGANIZZAZIONI MOD...
 
Infrastructure as Code e metodologia DevOps
Infrastructure as Code e metodologia DevOpsInfrastructure as Code e metodologia DevOps
Infrastructure as Code e metodologia DevOps
 
Un backend per tutte le stagioni con Spring
Un backend per tutte le stagioni con SpringUn backend per tutte le stagioni con Spring
Un backend per tutte le stagioni con Spring
 
Meetup Progressive Web App
Meetup Progressive Web AppMeetup Progressive Web App
Meetup Progressive Web App
 
Meetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web AppMeetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web App
 
Blazor ha vinto? Storie di casi reali
Blazor ha vinto? Storie di casi realiBlazor ha vinto? Storie di casi reali
Blazor ha vinto? Storie di casi reali
 
Introduzione A Docker
Introduzione A DockerIntroduzione A Docker
Introduzione A Docker
 
e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)
 
Neoload webinar-24_07
Neoload webinar-24_07Neoload webinar-24_07
Neoload webinar-24_07
 
Red Hat OpenShift: l'abilitatore della Cloud Native Enterprise
Red Hat OpenShift: l'abilitatore della Cloud Native EnterpriseRed Hat OpenShift: l'abilitatore della Cloud Native Enterprise
Red Hat OpenShift: l'abilitatore della Cloud Native Enterprise
 

Plus de Emerasoft, solutions to collaborate

Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementEmerasoft, solutions to collaborate
 
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliwebinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliEmerasoft, solutions to collaborate
 
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformIl DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformEmerasoft, solutions to collaborate
 
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Emerasoft, solutions to collaborate
 
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Emerasoft, solutions to collaborate
 
La Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementLa Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementEmerasoft, solutions to collaborate
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Emerasoft, solutions to collaborate
 
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackINAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackEmerasoft, solutions to collaborate
 
Polarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaPolarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaEmerasoft, solutions to collaborate
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsEmerasoft, solutions to collaborate
 
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...Emerasoft, solutions to collaborate
 

Plus de Emerasoft, solutions to collaborate (20)

PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAPPAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
 
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
 
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliwebinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
 
ComeToCode 2022 - speech di Emerasoft
ComeToCode 2022 - speech di EmerasoftComeToCode 2022 - speech di Emerasoft
ComeToCode 2022 - speech di Emerasoft
 
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformIl DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
 
Onboarding digitale sulle piattaforme della PA - 13.04.pdf
Onboarding digitale sulle piattaforme della PA - 13.04.pdfOnboarding digitale sulle piattaforme della PA - 13.04.pdf
Onboarding digitale sulle piattaforme della PA - 13.04.pdf
 
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
 
Viaggio nel mondo a servizi, come prepararsi per l'avventura
Viaggio nel mondo a servizi, come prepararsi per l'avventuraViaggio nel mondo a servizi, come prepararsi per l'avventura
Viaggio nel mondo a servizi, come prepararsi per l'avventura
 
Digitaltogether 2.0 IL MANIFESTO
Digitaltogether 2.0 IL MANIFESTODigitaltogether 2.0 IL MANIFESTO
Digitaltogether 2.0 IL MANIFESTO
 
POLARION by SIEMENS & GITLAB, una coppia vincente
POLARION by SIEMENS & GITLAB, una coppia vincentePOLARION by SIEMENS & GITLAB, una coppia vincente
POLARION by SIEMENS & GITLAB, una coppia vincente
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
 
La Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementLa Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream Management
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
 
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackINAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
 
Polarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaPolarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in azienda
 
Api gitlab: configurazione dei progetti as a service
Api gitlab: configurazione dei progetti as a serviceApi gitlab: configurazione dei progetti as a service
Api gitlab: configurazione dei progetti as a service
 
Smartbear: un framework unico per testare API e UI
Smartbear: un framework unico per testare API e UISmartbear: un framework unico per testare API e UI
Smartbear: un framework unico per testare API e UI
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio Devops
 
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
 

OpenDevSecOps 2019 - Open devsecops un caso di studio

  • 1. Open DevSecOps 2019 Un caso di studio
  • 2. Marco Pantano ALM Specialist, Emerasoft Principali competenze: • Release Management • Configuration Management • Build&Deploy Automation PRESENTAZIONE
  • 3. Cliente Login al portale nel 201830M ● 15M di richieste di servizi online Team di sviluppo 100 + ● Diversi fornitori ● Evoluzioni in parallelo ● 10000 Build propedeutiche al collaudo all’anno Applicazioni 700 + ● 90% Java ● 5% .NET ● 5% Angular Login al portale nel 2018 150 M ● 46% in evoluzioni ● 48% in manutenzione e servizi ● 6% altri servizi Budget a consuntivo 2018
  • 4. ● Cliente: Primario Ente pubblico contesto Enterprise ● Progetto: DevOps Adoption Roadmap ● Stato Progetto: in corso Contesto
  • 5. Anno 2011 - Importante ente pubblico italiano individua le seguenti criticità: ➢ Assenza di processi condivisi per lo sviluppo e il rilascio del software ➢ Mancata tracciatura delle attività di sviluppo e rilascio ➢ Comunicazioni tra il mondo Dev e Ops a mezzo email ➢ Assenza di un repository condiviso del codice sorgente ➢ Assenza di procedure automatizzate di build, test e deploy SCENARIO
  • 6. ➢ Il cliente ha la necessità di modificare le proprie modalità operative senza subire rallentamenti sulle attività correnti ➢ Il cliente ritiene prioritaria la creazione di propri repository del codice sorgente e degli artefatti buildati per aver modo di governare al meglio i propri Asset software ➢ Il cliente ritiene prioritaria l’implementazione dei processi di pianificazione, rilascio in collaudo, certificazione e produzione ➢ Il cliente vuole consentire l’esecuzione delle attività di deploy solo se esplicitamente richieste attraverso un’opportuna richiesta di deploy Linee guida - 1
  • 7. ➢ Il cliente vuole costruire una propria Build Automation toolchain ➢ Il cliente vorrebbe automatizzare i test ➢ Il cliente vorrebbe dotarsi di strumenti di virtualizzazione di servizi per automatizzare il provisioning degli ambienti di Integrazione e Q&A ➢ Il cliente vuole arrivare a lavorare in modalità DevOps Linee guida - 2
  • 10. Conclusione? Nuove criticità ➢ Automatizzazione vista come un pericolo integrità di funzionalità e dati ➢ Decomposizione in microservizi rende complessa la messa in sicurezza degli applicativi nostalgia della sicurezza perimetrale sull’intero monolite ➢ Difficoltà nel superamento dell’organizzazione a silos responsabilità Vs collaborazione Resistenza al cambiamento
  • 11. Conclusione? Nuove criticità ➢ Elevata complessità della nuova architettura a microservizi ➢ Nuove modalità di ripartizione dei costi in tema di controllo di gestione ➢ Difficoltà di natura contrattuale con i fornitori Necessità di nuove competenze
  • 12. Nuovo approccio Tavolo DevOps ➢ Condivisione genera cultura ➢ Definizione delle nuove modalità operative basate su un progetto reale ➢ Scelte basate sul livello di maturità Competence Center DevOps ➢ Definizione di standard architetturali e di processo ➢ Diffusione delle best practices ➢ Supporto metodologico
  • 13. Dal monolite ai microservizi
  • 15. Mediated API Pattern ➢ OUTER APIs ○ Interfacce esposte ad applicazioni e servizi esterni al proprio dominio ○ Gestite dall’Api Gateway ○ Pubblicate come RESTful APIs ➢ INNER APIs ○ Interfacce esposte e fruite dai microservizi stessi ○ Definiscono la modalità di invocazione del microservizio da parte del gateway ○ Definiscono come i microservizi comunicano tra loro ○ Possono essere: ■ sincrone: tipicamente RESTful, si aspetta la risposta a fronte della richiesta ■ asincrone: event driven, modello publisher-subscribe
  • 16. DevSecOps toolchain Sorgenti Swagger Build binari Build docker image Risolve dipendenze Pubblica binari Reperisce base image Push del binario nell’immagine Pubblica immagine Build time Deploy time Reperisce immagine Orchestrazione Pubblicazione swagger Reperisce artetatti npm angula Pubblicazione SPA
  • 17. SEC ➢ Unico punto di accesso alle librerie di terze parti open ➢ Utilizzo delle funzionalità Lifecycle ○ ricerca vulnerabilità di sicurezza a tempo di build ○ generazione ACR ○ gestione dello stato delle vulnerabilità ○ continuous monitoring delle applicazioni in produzione ➢ Utilizzo degli staging per i binari e le immagini docker ○ Build->Sviluppo>Collaudo->Certificazione-Produzione ○ Release su Hosted Repository ➢ Utilizzo firewall
  • 18. Conclusione ➢ Nel settore pubblico esistono realtà che puntano sull’innovazione ➢ E’ necessario individuare il proprio livello di maturità ➢ Le decisioni strategiche vanno prese in funzione del proprio livello di maturità ➢ E’ necessario lavorare costantemente al miglioramento delle proprie competenze ➢ L’eliminazione delle logiche organizzative a silos deve portare alla collaborazione concreta tra diversi fornitori
  • 19. Open DevSecOps 2019 Un caso di studio

Notes de l'éditeur

  1. 2 OPZIONALE ALLA 3