CA Technologies concrétise son usine pour logiciels modernes
L’éditeur intègre les solutions de Veracode, BlazeMeter et Automic à ses produits pour former une chaîne d’outils DevOps cohérente. C’est ce qu’il a montré au CA World 2017.
De la sagesse du vieux mainframe au service des DevOps dernier cri. CA Technologies, qui a fait fortune au siècle dernier en vendant des logiciels d’administration pour les grands systèmes des banques, a tenu salon mi-novembre à Las Vegas pour présenter aux grandes entreprises son nouveau catalogue d’outils destinés à moderniser leurs développements.
« Étant donné que les entreprises font de plus en plus de business au moyen du web, des applications mobiles et des services connectés, leur capacité à croître et à suivre le rythme de leurs concurrents dépend de leur capacité à implémenter les pratiques DevOps modernes - les seules qui garantissent la rapidité, la qualité et l’efficacité à leur chaîne de développement d’applications », analyse Jeff Scheaffer, en charge de la branche Continuous Delivery chez CA Technologies, lors de ce CA World 2017.
La moitié de la quinzaine d’outils présentée est constituée des mises à jour des produits de CA Technologies en matière de gestion des API (rachetés à Layer 7 en 2013). L’autre moitié est héritée des solutions de trois éditeurs rachetés depuis un an : Veracode (vérification en SaaS des failles de sécurité dans le code), BlazeMeter (plateforme SaaS de tests) et Automic (enchaînements automatiques entre les traitements).
L’ensemble est regroupé dans le catalogue sous un label « Modern Software Factory » (l’usine des logiciels modernes), un concept imaginé par Otto Berkes, embauché il y a deux ans par CA Technologies comme CTO. Il s’agit d’outiller les projets applicatifs, de la conception en mode agile jusqu’au monitoring des applications en production, en passant par l’assistance des développeurs lors de l’écriture du code et le déploiement en microservices.
Être plus agile avec des métriques utilisateurs et des tests en ligne
En pratique, le chef de projet démarre avec Agile Central, l’outil qui sert à organiser le planning et à dispatcher les missions aux développeurs (il est éventuellement épaulé par l’outil Agile Designer qui sert à représenter le projet en diagrammes, comme à l’époque de l’UML). Puis il suit l’évolution du projet avec le tableau de bord Continuous Delivery Director (CDD), lequel indique si un code est en écriture, en test, en pré-production, etc.
Désormais, Agile Central intègre un module pour prendre en charge les retours d’expérience d’utilisateurs. Ceux-ci seront intégrés au fur et à mesure des mises à jour d’un projet grâce à un nouveau service SaaS baptisé Digital Experience Insights, lequel, via un agent dans le code, monitore le comportement d’une application et remonte des métriques, à la manière de AppPulse chez Micro Focus.
Quant à CDD, il se décline aujourd’hui en version SaaS, laquelle a le mérite d’intégrer dans son interface des modules pour monitorer les solutions de Veracode et BlazeMeter qui fonctionnent, elles aussi, en SaaS.
Il est à noter que sous la tutelle de CA, BlazeMeter se dédouble : on trouve désormais une extension dédiée aux tests des API, afin de vérifier que les services communiquent bien entre eux. Parmi les autres modules notables, citons CA Service Virtualization qui évolue aujourd’hui en version 10.2, en intégrant un nouveau moteur CodeSV plus efficace pour les applications web. Ce module, un historique de CA, a pour fonction de simuler des données ou des services manquants, afin de tester le comportement des applications (idéalement avec BlazeMeter).
Automatiser des microservices qui s’interconnectent avec les applications existantes
Les DevOps ont à présent la possibilité de déclencher automatiquement un processus (par exemple le déploiement d’une application en pré-production dès qu’elle a passé son lot de tests) grâce à la suite Automic One, désormais en version 12.1 sous le label CA. Auparavant, il fallait tout lancer à la main, c’est-à-dire soit passer son temps à surveiller CDD, soit programmer des opérations à des heures fixes, sans avoir la certitude que ce serait le bon moment.
Il est à noter qu’Automic One se compose de trois logiciels. Celui qui intéresse les DevOps est Automic Release Automation. Les deux autres n’ont rien à voir : Automic Workload Automation sert à déclencher des processus commerciaux (envoi d’une pub à un client qui vient de visiter un site, par exemple) et Automic Service Orchestration sert à faire des portails liés aux outils de TSM pour que les utilisateurs puissent réserver des ressources sans passer par la DSI.
Autre possibilité offerte aux DevOps, celle de déployer leurs applications en containers Docker capable d’accéder à toutes les ressources existantes dans le SI (bases de données, autres applications, etc.) via le nouveau module CA Microgateway qui indexe ces ressources sous forme d’API. CA Microgateway, lui-même en container, est le pendant pour Docker de l’ancienne appliance CA API Gateway pour les machines physiques ou virtuelles.
« Le grand intérêt est de pouvoir déployer, depuis notre plateforme, des applications éphémères qui peuvent s’exécuter en interne comme en externe, mais qui continuent tout de même d’utiliser les services historiques de l’entreprise, ce qui n’est pas trivial avec des containers seuls », a rapidement résumé Richard Pulliam, en charge des produits de gestion des API chez CA Technologies.
Le concept de DevSecOps avec Veracode Greenlight
Du côté des développeurs, la solution de Veracode se décline en Veracode Greenlight, un plugin pour les environnements de développement les plus courants (Eclipse, Visual Studio, etc.). Celui-ci récupère le code compilé au fil de l’eau sur la machine du développeur et l’envoie au service SaaS de Veracode, dont la fonction est de vérifier que des failles de sécurité n’ont pas été insérées par mégarde. Lorsque c’est le cas, le plugin le signale immédiatement au développeur, en soulignant la faille dans le code en cours d’écriture et en affichant, à droite de l’écran, un moyen connu pour la corriger.
« Trouver les failles alors même que vous êtes en train d’écrire votre code, vous évitera d’être victimes d’attaques ‘zero-day’ par la suite et, dans la foulée, de perdre du temps - des semaines - à chercher comment réparer l’erreur », explique au MagIT, en charge de l’ingénierie Sécurité chez CA Technologies.
Selon lui, les entreprises ne sont pas forcément assez sensibles aux risques d’attaques qu’encourent leurs applications, car le sujet du développement en continu est trop neuf. Mais elles devraient néanmoins équiper rapidement les postes de leurs développeurs avec Veracode Greenlight pour montrer à leurs clients qu’elles respectent les contraintes réglementaires. « C’est un moyen de se différencier : vous vendez mieux votre application si vous pouvez prouver que vous vérifiez leur code en temps réel », dit-il.
Et pour mieux vendre cette solution à ses clients, CA Technologies a, avec l’appui du cabinet Gartner, inventé un autre concept : le DevSecOps. En deux mots, les développeurs, non contents d’avoir la charge de déployer des infrastructures à la place de la DSI pour exécuter leurs applications, ont aussi celle de s’occuper de leur sécurité à la place des équipes RSSI.
Une stratégie pour aller au-delà du mainframe
Ces annonces confortent la stratégie de CA Technologies qui consiste à se positionner au-delà des solutions pour mainframes. Néanmoins, sur les 4 Md$ de dollars de chiffre d’affaires réalisés par l’éditeur en 2017, près de 2,2 Md$ de dollars étaient encore générés par l’activité grands systèmes.
Et si aucun des grands comptes français rencontrés par LeMagIT lors de CA World 2017 n’a souhaité s’exprimer dans la presse, certains ont tout de même confessé s’être déplacés pour entendre des annonces sur les mainframes.
Heureusement pour eux, en marge de la Modern Software Factory, l’éditeur a bel et bien lancé trois nouveaux produits à destination des immortelles machines z d’IBM (de l’intelligence artificielle pour leur maintenance, pour la sécurité de leur accès et pour l’utilisation de leurs ressources).