Rawpixel - Fotolia
CI/CD : CloudBees s’invite sur le marché de la conformité
Dans le cadre de sa conférence DevOps World, Cloudbees a annoncé la disponibilité prochaine de Cloudbees Compliance, un outil de conformité des pipelines CI/CD. L'éditeur a également revu sa stratégie commerciale depuis le changement de direction.
Bien conscient des menaces qui pèsent sur les piles technologiques de leurs clients, les éditeurs de produits CI/CD entendent proposer des solutions de sécurité et de conformité à leurs clients. Récemment, Progress a dévoilé sa stratégie CSPM. Cette semaine, c’est au tour de Cloudbees de présenter une solution dont l’objectif est de fluidifier la mise en conformité des pipelines CI/CD.
Disponible au premier trimestre 2022, CloudBees Compliance doit permettre d’assurer cette conformité et l’évaluation des risques sur l’ensemble de la chaîne logistique logicielle. En l’occurrence, ce produit s’appuie sur la technologie développée par Neuralprints, une startup britannique inconnue au bataillon rachetée en septembre par CloudBees. Sur sa page Web, la société indique être une « startup travaillant en mode furtif sur les informations de sécurité et de conformité », rien de plus.
En réalité, cette mystérieuse société a été cofondée par Prakash Sethuraman en 2015, le nouveau CISO de Cloudbees passé juste avant par HSBC.
Une interface low-code pour orchestrer OPA
Cloudbees Compliance s’appuie sur une couche propriétaire low-code par-dessus le moteur de règles Open Policy Agent (OPA, à prononcer oh-pa) développé par Neuralprints. Compliance traduit des règles de conformités en Rego, le langage de requêtes inspiré par Datalog et étendu pour supporter les documents structurés comme ceux au format JSON, afin de dicter des instructions pour l’application des politiques de sécurité et de conformité au sein de l’infrastructure IT via les pipelines CI/CD de CloudBees. Rego n’est pas forcément le langage le plus simple à manipuler, selon les professionnels de l’IT, d’où l’émergence de cette interface low-code.
Prakash SethuramanCISO, Cloudbees
« La plupart des grands groupes finalisent leur adoption de l’approche DevOps : ils viennent de passer de politique de déploiement trimestriel à une approche mensuelle, hebdomadaire, voire quotidienne », déclare Prakash Sethuraman. « Il n’y a pas encore beaucoup d’acteurs qui effectuent plusieurs déploiements par jour. Quand ils étendent leur capacité de déploiements, ces groupes veulent le faire de manière sécurisée et automatisée, tout comme les PME et les TPE qui se lancent dans cette voie. C’est ce que Cloudbees Compliance apporte ».
Cloud Compliance doit s’interfacer avec les outils de scans de vulnérabilité open source comme sonarqube, mais également les produits des partenaires de CloudBees, tels Anchore, Sonatype, Snyk ou White Source. « Aucun éditeur d’outils n’est en position de dire que leurs produits sont capables de tout faire, donc nos clients adoptent plusieurs de ces outils », affirme Prakash Sethuraman lors d’un point presse.
Riad Ghafir, Global Head of Production Factories chez BNP Paribas CIB, estime que les outils de conformité et de sécurité existants manquent justement d’intégration vers les outils CI/CD, tout comme ils ne seraient pas suffisamment robustes pour les usages en temps réel.
CloudBees Compliance agit comme un « Bus », il intègre tous les événements en temps réel en provenance des outils et des infrastructures cloud, pour l’instant Microsoft Azure, Google Cloud et AWS. « Nous avons l’intention d’étendre ces fonctionnalités à l’écosystème on-premise parce que la plupart de nos clients adoptent en ce moment une stratégie hybride », déclare le CISO.
L’interface devra permettre de gérer les risques liés à l’infrastructure, le code, les données, les binaires et les identités. Compliance embarque par défaut des règles de conformité standards (RGPD, HIPAA, NIST, ISO 27001, etc.). Les clients pourront aussi ajouter leurs propres règles à la mode low-code, à condition de connaître les paramètres de configuration de l’infrastructure sous-jacente. Compliance génère automatiquement le code Rego nécessaire, qui peut être visualisé et modifié manuellement.
L’éditeur compte ajouter une marketplace afin de rendre accessible des plug-ins, à savoir des scanners spécifiques ou des templates de règles. Depuis l’interface de Compliance, il sera également possible de déterminer qui est responsable d’une règle ou de notifier les développeurs quand un déploiement ne respecte pas les éléments de conformité. En outre, CloudBees s’appuie sur un score de conformité pour prioriser les éléments à risque, qu’ils viennent d’être poussés en production ou qu’ils le soient déjà.
En revanche, CloudBees ne promet pas de s’appuyer sur les flux de conformité existants. Il semble possible sur le papier d’importer ses propres manifestes écrits en Rego, mais le CISO a indiqué que la manière de s’intégrer aux autres outils du marché, typiquement ceux du segment AIOps, variera. Clairement, il faudra attendre la disponibilité générale pour en savoir davantage.
Dans un premier temps, CloudBees Compliance sera disponible en standalone, mais l’éditeur compte l’intégrer à sa plateforme CloudBees Platform. Les porte-parole de l’éditeur ont assuré que des clients testent déjà une version bêta de la solution sans dévoiler de nom. Ils n’ont pas non plus dévoilé le modèle économique précis associé à CloudBees Compliance.
SDM disparaît, place à CloudBees Platform
Cloudbees Platform n’est autre que le nouveau nom de SDM, l’offre qui chapeaute les produits SDM et Feature flags de l’entreprise. Il faut le distinguer du catalogue SDA consacré aux produits CI/CD dont une version de Jenkins.
SDM devait sortir à la fin de l’année 2020. Finalement, seuls les modules feature management et engineering management ont vu le jour. Lors de ce DevOps World, Feature Management, l’outil de feature flagging a gagné une interface utilisateur et une intégration avec les outils CI/CD de Cloudbees. Une offre nommée Enterprise Release Orchestration embarque finalement les fonctionnalités de value stream management basées sur les métriques DORA.
Outre les changements de noms l’éditeur est revenu sur le modèle de déploiement de Cloudbees Platform qui est non plus seulement disponible en SaaS depuis le cloud, mais aussi en mode self managé et on premise.
L’épisode Atlassian pourrait avoir eu un effet sur cette décision, mais il est plus probable que le changement de direction annoncé en février 2021 a entraîné une révision de la stratégie produit. En effet, Stephen Dewitt, ancien CSO d’Automation Anywhere a remplacé Sacha Labourey au poste de CEO. Le Suisse a repris le rôle de Chief Strategy Officer, une position qui lui sied mieux, selon ses dires. Il y a à peine trois semaines, Danesh Keswani, un autre transfuge de HSBC, est devenu le CTO de l’entreprise.
Danesh KeswaniCTO, CloudBees
« D’ici six à douze mois, notre priorité est d’unifier nos interfaces DevOps et de conformité afin de supporter les déploiements à large échelle », indique Danesh Keswani. Par ailleurs, CloudBees souhaite encourager la migration de ses clients vers ses solutions SaaS.
CloudBees est loin d’être le seul fournisseur à avoir récemment élargi sa gamme de produits pour en faire une plateforme DevOps « de bout en bout ». JFrog est un exemple, mais Microsoft, qui offre tout, des dépôts de code GitHub aux workflows DevOps Azure, en passant par l’infrastructure cloud Azure elle-même, se pose en adversaire de taille de CloudBees. D’autres entreprises associées au mouvement DevOps, telles que Puppet, se lancent également dans l’automatisation de la conformité informatique et dans l’automatisation des pratiques de développement.
Une unification qui se frotte à la réalité du terrain
Selon les analystes, les utilisateurs souhaitent réduire le nombre d’éditeurs avec lesquels ils doivent traiter, mais la manière dont ils décideront des outils à conserver reste une question ouverte.
« Il y a beaucoup de concurrents, mais le marché n’est pas encore mûr pour prendre cette décision », déclare Jim Mercer, analyste chez IDC. « Les entreprises ont commencé à adopter l’approche DevOps, mais elles ne sont pas encore vraiment passées à l’échelle. Elles veulent [réduire] le [nombre] d’outils qu’elles utilisent, mais les développeurs peuvent être pointilleux ».
La force de CloudBees reste la taille de la base d’utilisateurs de Jenkins – environ 60 % de la base installée pour le CI/CD en entreprise, selon Michael Delzer, analyste chez GigaOm. Les grandes entreprises auront également besoin du support technique d’un fournisseur, ce que CloudBees peut transformer en revenus. Le fait que Jenkins soit établi depuis des années signifie également qu’il dispose d’un écosystème mature de plug-ins et d’intégrations, que CloudBees entretient pour les entreprises clientes.
Les organisations peuvent passer à une autre chaîne d’outils CI/CD, comme celle de GitLab ou de Microsoft, mais cela peut être un processus ardu, et il est peu probable que cela se fasse d’un coup.
« Avec la taille et l’échelle de Fidelity, un seul éditeur ne peut pas tout fournir », déclare Gerard McMahon, responsable des outils ALM et des plateformes chez Fidelity Investments.
Les équipes développant des applications cloud natives peuvent choisir un outil CI/CD plus récent d’un fournisseur de cloud tel qu’AWS ou de la communauté CNCF, tel qu’ArgoCD pour déployer une approche GitOps, mais ces outils plus récents ne peuvent pas nécessairement s’adapter à un éventail d’applications aussi large que Jenkins, assure Gerard McMahon.
« Si l’on atteint un certain niveau de complexité, [les nouveaux outils spécialisés] s’effondrent très rapidement », assure-t-il. « Vous devez alors utiliser quelque chose comme Jenkins pour combler les lacunes ».
Le défi pour CloudBees – après des années d’acquisitions, de changements de direction et de mises à jour de la feuille de route – est maintenant l’exécution, selon Jim Mercer d’IDC.
« Ils ont l’avantage d’avoir été les premiers à s’engager dans le CI/CD, ils ont une marque et possèdent une grande partie du marché », déclare-t-il. « Si CloudBees Compliance sort en janvier ou février, nous verrons comment cela se passe – sinon, la patience commencera à s’effriter. Ils n’ont qu’un nombre limité de coups à jouer ».