atSistemas celebró el pasado 31 de mayo y 1 de junio en los Teatros Luchana uno de los encuentros más importantes en el sector IT: Devops Spain 2022 IV Edition.
Este evento considerado uno de los referentes en el mercado español, tuvo como objetivo compartir conocimiento sobre DevOps con los asistentes que se dieron cita en estas dos jornadas que duro el encuentro. Por cuarto año consecutivo, reunimos los principales actores del panorama actual de DevOps: innovadores técnicos, directivos y líderes de la industria con profesionales y empresas para hablar sobre las nuevas tendencias, propuestas y soluciones que nos ofrece DevOps.
En esta edición, contamos con patrocinadores que apoyaron el evento como Synopsys, Sonatype, Veracode, HashiCorp, digital.ai, Dynatrace, Red Hat, Elastic entre nuestros partners gold y Cloudbees, Sysdig, GitLab, Lacework, AWS, 42crunch como partners silver.
El evento
Las puertas de uno de los lugares más emblemáticos de Madrid como los Teatros Luchana se abrieron la pasada semana para acoger el Devops Spain 2022 IV Edition. El arranque del evento vino dado por la recepción de los asistentes y la entrega de las acreditaciones que les facilitaron el acceso tanto a las ponencias principales como a los workshops profesionales que se celebraron durante las dos jornadas.
Los temas principales que protagonizaron todas las conferencias fueron:
- Nuevas tendencias de DevOps: Las nuevas tendencias explicadas por los principales fabricantes en el ámbito de DevOps, así como sus novedades y productos.
- Nuevas propuestas y soluciones: Presentación de todas las nuevas propuestas y soluciones de 2022 entorno a DevOps.
- La seguridad en DevOps: Desde su aproximación shift-left hasta la implementación con los principales fabricantes, ¡incluyendo la IaC!
- Securizar el ciclo de vida de la contenerización: La manera en la que se puede securizar todo el ciclo de vida de la contenerización, tener la certeza de que todo funciona correctamente a través de modelos de observabilidad avanzada e identificar, localizar y resolver problemas en 2 clicks.
- La observabilidad hacia capacidades de respuesta: Su evolución hacia capacidades de respuesta frente a situaciones conocidas y a otras que no lo son, e incluso la manera de anticiparte a los problemas que se podrán producir.
Las ponencias de DevOps Spain IV Edition
1º Jornada DevOps Spain 2022
El pasado martes 31 de mayo, se celebró la primera jornada de este evento donde nuestros sponsors gold como Synopsys, Sonatype, Veracode y HashiCorp, fueron los protagonistas del día.
Nuestro compañero Iñigo Chaso, Business Development Manager de atSistemas comenzó la primera intervención de la jornada con su Keynote titulado La próxima parada, la industrialización. Para comenzar, hizo referencia a la Keynote del año pasado titulada Hasta el infinitivo y más allá con una pequeña reflexión sobre los conceptos y temas tratados.
A continuación, dio paso al nuevo tema donde habló de como la relación con la tecnología nos somete a una situación constante de cambio. Además, detallaba que la optimización del proceso para su mejora, lo alcanzaremos a través de la eficiencia del proceso consiguiendo además que funcione de una manera mucho más eficaz. Durante su ponencia destacó que el Devops es esencial, ya que no hay proceso de código que se realice sin tener un proceso de DevOps previo.
La siguiente ponencia de uno de nuestros partners Aprovechar al máximo DevSecOps a través de ASOC, ¿qué es ASOC y cómo me puede ayudar con mi DevSecOps? de la mano de Emmanuel González Carmona, Senior Sales Engineer de Synopsys Software Integrity Group, nos contaba que el ASOC puede ingerir todos los resultados que se encuentran en diferentes herramientas y tener un machine learning que nos ayudará a tomar decisiones de manera más rápida y eficiente y en el momento más adecuado. Además, nos habló sobre la automatización de las pruebas de seguridad al incorporar datos de múltiples fuentes (estáticos, dinámicos e interactivos [SAST/DAST/IAST]; análisis de composición de software [SCA]; evaluaciones de vulnerabilidad y otros) en una base de datos no de cientos, si no miles de hallazgos.
La tercera ponencia de la tarde La evolución de los ataques a la cadena de suministro de software liderada por Alejandro Estrada Gamboa, Regional Sales Director Iberia, Italy and North Africa de Sonatype centró su discurso en el aumento de los ciberataques de nueva generación dirigidos activamente a proyectos de software de código abierto citando los más recientes como Dependency Confusion y la vulnerabilidad Log4j. En los últimos años, se han documentado múltiples formas de ataques a la cadena de suministro de software de código abierto (OSS), como la inyección de código malicioso, el robo de credenciales de proyectos y la falsificación. Alejandro Estrada mencionó que los cibercriminales saben que las empresas no los están escaneando además de subrayar que todavía nos queda mucho proceso de evangelización y formación. A lo largo de la exposición, ha contado cómo gestionar estos nuevos ataques maliciosos, acciones y prácticas que pueden aplicar para proteger su cadena de suministro de software y ha destacado el aprendizaje de las empresas por la vía dura de estos ataques.
Tras el descanso continuamos con la cuarta charla que vino por parte de Antonio Reche, EMEA Solution Architect at Veracode titulada DevSecOps: ¿claves para garantizar la seguridad de sus aplicaciones?
Durante la ponencia abordó lo que DevSecOps significa en la práctica y los pasos para obtener resultados rápidos y efectivos en un negocio. Además, nos explicó cómo lanzar y establecer un programa DevSecOps, los beneficios inmediatos que reforzarán la seguridad, analizar la seguridad de las aplicaciones desde los pipelines de CI / CD y cómo desarrollar una cultura interna que garantice siempre desplegar código seguro. Destacó en sus palabras que la seguridad tiene que formar parte de cualquier ciclo de integración, de DevOps.
La última charla de la jornada fue acontecida por David Cañadillas, Senior Solutions Engineer de HashiCorp bajo el título de El camino a Zero Trust DevOps. Destacó al comienzo de su ponencia que la identidad es lo único estable a través de cualquier frontera y entra en sintonía con el Zero Trust. A lo largo de su ponencia, nos contó qué es Zero Trust DevOps, los tres principios básicos que ayudarán a mantener altos estándares de seguridad y a proteger lo ante posibles los problemas en el desarrollo y entrega de aplicaciones.Además, mostró cómo aplicar estos principios mediante el funcionamiento nativo de las soluciones de HashiCorp Vault, Consul y Boundary, y su integración en un entorno DevOps con Waypoint.
Para despedir la jornada, tuvimos una mesa redonda con los ponentes de las empresas de Synopsys, Sonatype, Veracode y Hashicorp con la temática de La industrialización del ciclo de vida de desarrollo del Software donde se hizo un repaso de las diferentes ideas expuestas a lo largo de la tarde y en el que la palabra seguridad fue un aspecto muy destacado en todas las exposiciones.
2º Jornada DevOps Spain 2022
La segunda jornada del evento celebrada el 1 de junio, comenzó sobre las 9:30 de la mañana y vino cargada de una agenda en llamas. Nuestros sponsors gold y silver Digital.ai, CloudBees, Sysdig, GitLab, Dynatrace, RedHat, LaceWork, Aws, Crunch, y Elastic, fueron los encargados de las ponencias que llenaron de DevOps y profesionalidad el escenario de los Teatros Luchana.
La bienvenida de la mano de Iñigo Chaso, Business Development Manager de atSistemas dio el pistoletazo de salida a las primeras intervenciones del día.
Óscar Rivas Sendin, director de arquitectura y Miguel Ángel González Luelmo, Devops Way of Thinking arrancaron esta segunda jornada presentando el caso de éxito de Pelayo. Comenzaron con una pequeña presentación y explicando cómo fue la puesta en marcha del proceso de transformación digital de la compañía, empezando con la la implantación de un framework de desarrollo, framework front y algunos proyectos de Back, DevOps y Arquitectura de Datos.
Nos contaron la situación de partida y todo el proceso que habían llevado a cabo para liderar esa transformación con el desarrollo de acciones como la mavenización Core Hogar, generar un sistema de ramas similar a GitLab.flow, añadir Jenkins como herramientas de ejección de pipes, migración de svn a bitbucket, implementación de calidad de código, conectores de cobol como pipe en Jenkins y un nuevo Jenkins.
Además, Óscar nos hablo del proyecto DevOps que habían desarrollado en Pelayo donde su objetivo principal había sido que el equipo de desarrollo tuviera libertad de trabajo y que pudieran desplegar sin impedimentos a la hora de trabajar. Así, mediante Jira, si alguien quería hacer una nueva funcionalidad se le generaría el repositorio en BitBucket para que pudieran empezar a trabajar. Migue Ángel González nos llevó a la práctica el caso de éxito de la compañía de seguros.
La segunda ponencia vino de la mano de Antonio Francisco Herrera Tabasco, responsable de la comunidad de DevOps de atSistemas titulada Liderazgo: Devops inside que nos detalló no solo como gestionar una comunidad, en este caso una comunicad DevOps, sino la manera de liderarla. Explicó que las comunidades deben ir evolucionando para dar respuesta a las nuevas necesidades de los clientes. Lo más importante, comentaba Antonio, que cuando se gestionan proyectos y equipos debemos tener claro dónde vamos y dónde queremos ir. Para ello, destacaba que es esencial escalar, compartir y delegar, además de tener una actitud que multiple al resto del equipo para que la gente tenga ganas de crecer. Afirmó que hacer brillar a tu gente, es lo más importante para mí y para liderar un equipo.
En su ponencia nos preguntó cómo llegar a un horizonte a través de cuatro aspectos: la cultura, la tecnología, el equipo y la dirección. En todos ellos se resumían algunas ideas centradas en varios aspectos como crecer, compartir, desarrollar, empoderar, delegar, apoyar y mentorizar al equipo. En la ponencia destacó la importancia de tener un modelo colaborativo donde la felicidad, la entidad de equipo y las iniciativas de liderazgo son elementos esenciales para crear una buena comunidad.
La tercera ponencia tras el descanso, Loved by Developers, cómo Administrar Jenkins a Escala Empresarial ofrecida de Alberto Roces Coto, Responsable Comercial, Iberia de Cloudbees, nos contó que tanto el código como el DevOps son importantes en el desarrollo de las empresas, pero también en la definición del customer experience. Nos habló del "from code to customer" y el Complete DevOps Platform presentando un DevOps más moderno y actualizado con un modelo común de datos poniendo al desarrollador como elemento central con las herramientas que ya conoce para crear cosas que importan, al tiempo que ofrecen tranquilidad a la dirección con potentes herramientas de gobernanza, cumplimiento y mitigación del riesgo. Además, habló de que apoyar una amplia gama de tipos de infraestructura y de optimizar la entrega de software a varias herramientas y equipos presenta a veces desafíos complejos y reales para las empresas. En su intervención afirmó que esto no va de poner plataformas porque sí, lo importante es ayudar a nuestros desarrolladores, nuestro equipo de operaciones y poder así ayudar a mejorar la experiencia de cliente. Explicó todo lo que debemos saber sobre Jenkins una de las herramientas de desarrollo más populares del planeta, con decenas de miles de instancias en uso y una comunidad creciente de más de 11,5 millones de usuarios. Destacó que a medida que crecen los equipos, los entornos, los proyectos y las presiones del mercado, resulta sencillo que parte del mantenimiento que implica el desarrollo y uso de los pipelines de Jenkins se vuelva más laborioso.
La cuarta intervención vino de la mano de Gonzalo Rocamador, Enterprise Sales Engineer de Sysdig con su ponencia Uso de Threat Intelligence en tiempo de ejecución para eliminar vulnerabilidades en producción. Durante la ponencia nos habló de la adopción de nube y herramientas nativas que permiten una innovación más rápida, pero que también deja tras de sí un aumento constante de vulnerabilidades a tratar por equipos de seguridad y DevOps. Los desarrolladores detectan una cantidad de vulnerabilidades sin conocer el riesgo real o qué acciones y esfuerzos de remediación priorizar. Se ha extendido en hablar de ese ruido con threat intelligence en tiempo de ejecución y priorizar rápidamente los problemas de seguridad críticos además de hablar Rumtime Intelligence Enchances Shift Left Approaches. Comentó que debemos de intentar entender qué paquetes debo modificar, eliminar y desarrollar.
La quinta charla Las cuatro fases de madurez del DevOps vino de la mano de Pierre Goyeneix, Area Sales Manager South EMEA de GitLab nos contaban que existen muchas herramientas en este mundo y que es muy difícil comprenderlas de manera conjunta. Esto hace que el mundo DevOps sea un poco complejo y que la transformación digital no se dé por completo en las empresas. Pierre nos habló sobre las cuatro fases de madurez del DevOps empezando por BYO DevOps, BIC DevOps, Do it yourself approach DevOps y DevOps Platform. En su ponencia destacó que, para alinear los recursos, la cultura y las personas para conseguir un éxito comercial y de business de manera diferente, la respuesta es DevOps.
La sexta intervención antes de cerrar la mañana de ponencia fue por parte de Miguel García Balsa, Sales Engineer de Dynatrace que nos contó los retos actuales de los equipos DevOps y SRE y la propuesta de Dynatrace para enfrentarlos en su ponencia titulada Why Devs Love Dynatrace. Durante su ponencia nos habló de los estándares y demandas de la industria y de las estrategias para mejorar todos los KPIs entorno al desarrollo, despliegue y mantenimiento de aplicaciones, cuando cumplimos un SLO y cuando no y los SLOs automatizados de Devops a OPs. Destacó el Shift Left SLOs donde se centró en tres pilares principales: Production Resiliency, Release Validation y Deployment Validation. En su ponencia nos recalcó que lo más importante es orquestar todo con el despliegue automático de tus SLOs.
Para cerrar la ponencia Dynatrace nos contó el caso de éxito de uno de sus clientes U.S Based financial Services Institution.
Tras la primera ronda de ponencias de esta segunda jornada, los asistentes disfrutaron de un cóctel donde pudieron conocer a los ponentes, hacer networking, tomar un descanso y reponer fuerzas para una tarde cargada de más automatización, APIS, seguridad y mucho DevOps.
En la séptima charla Optimización de la cadena de suministro de nuestras aplicaciones liderada por Miguel Ángel Díaz Head of Business Development Red Hat nos lanzaba la pregunta de qué si en las cadenas de suministro y de fabricación los procesos están industrializados y automatizados ¿por qué no hacer lo mismo con nuestras aplicaciones? En su ponencia nos habló de la necesidad que hay en las empresas de poner en marcha esos procesos, cómo hacerlo y ser capaces de optimizar la cadena de suministro de nuestras aplicaciones. Nos dio a conocer la Red Hat OpenShift Container Platform, Tekton, Argo CD Y Ansible. En los últimos minutos de su ponencia resaltó la siguiente frase no preguntes lo que la automatización puede hacer por ti, pregúntate qué puedes hacer tú por la automatización.
La octava ponencia liderada por Joan García, responsable Comercial para Lacework Iberia y Ton Machielsen, responsable técnico para Lacework Iberia llamada No permitas que la ciberseguridad frene tu SDLC: Automatización de la seguridad en el mundo DevOps con Lacework comenzó destacando que las organizaciones adoptan prácticas de DevOps para incrementar la agilidad y velocidad del ciclo de vida de sus aplicaciones e infraestructuras. Este objetivo a menudo se ve amenazado por la falta de integración en el SDLC de las herramientas tradicionales de seguridad basadas en un mantenimiento manual de reglas. En esta sesión nos enseñaron como Lacework, la plataforma de automatización de la seguridad en el mundo DevOps, permite mantener la velocidad y la agilidad sin comprometer la seguridad en puntos como por ejemplo el escaneo de la infrastructure as code, gestión de vulnerabilidades desde el build-time hasta el runtime o en la eliminación del ruido generado por los falsos positivos entre otros puntos. Joan García afirmó durante tu exposición que hay que repensarse la seguridad de nuestros entornos desde cero.
Ton Machielsen nos presentó el caso de éxito de AB Tasty, uno de los clientes de Lacework, una empresa dedicada al análisis de comportamiento del usuario donde recogen datos y analiza el customer journey de los usuarios de su web.
Industrialización de Aplicaciones Modernas en AWS: Agilidad, ahorro de costes e innovación fue el nombre de la novena ponencia de la mano de Javier Naranjo director de Desarrollo de Negocio de Aplicaciones modernas de AWS. Javier dio apertura a su intervención contando que desde Amazon Web Services trabajan con el llamado Customer Obsession, leader start with the customer and work backwards, es decir trabajar hacia atrás, ver qué pasa en el mercado, escuchar necesidades los clientes, y volver a casa a crear. Afirmó que hay que entender que hay que industrializar y estandarizar la modernización de las aplicaciones.
La décima charla Automatizar la seguridad ya no es una opción, es una obligación se llevó a cabo con Isabelle Mauny, Field CTO de 42Crunch que nos explicó que cada día, millones de APIs se crean o se cambian en el mundo. Los equipos de seguridad están desbordados, y no consiguen asegurar que las APIs y sus dependencias estén probadas correctamente. Isabelle nos hablaba de las técnicas desplegadas por los clientes para abordar este problema y cómo validar, probar y desplegar automáticamente la seguridad delante de nuestras APIs. De una manera o de otra la Fiel CTO de 42Crunch comentaba que el gran problema hoy es que no se entiende que la seguridad no hable el mismo idioma, no hay un lenguaje común de descripción de qué es un APIS y qué hace. Nos destacó que en los contratos de diseño API es importante saber qué datos vamos a dar y qué vamos a recibir y lo más importante, la cantidad de APIS.
Las dos últimas charlas vinieron de la mano de Óscar Cabanillas, Solutions Architect Manager de Elastic con el título Lo que no se puede medir, no se puede mejorar. Con Elastic puedes donde nos habló sobre Elastic como una solución de Open Source y los beneficios de su plataforma. En otra sala y de manera paralela Yogev Baron, Producto Manager de digital.ai con su ponencia Next generation of mobile testing nos dio a conocer cómo llevar a cabo esos procesos de testing para la nueva generación de móvil. Nos explicó el proceso que Digital.ai tiene implantando con diferentes fases que comienzan por un Continuos Testing Overview, Test editor, Software Testing Evolution y Autonomous Testing. Este proceso es una solución de pruebas robustas y de alto rendimiento para dispositivos móviles y navegadores para escritorio que apoya el ciclo de desarrollo y ejecución de pruebas y en amplia gama de navegadores.
Para cerrar esta jornada, contamos con una mesa redonda liderada por Iñigo Chaso como moderador y los ponentes de las empresas Redhat, Dynatrace y Elastic que discutieron sobre algunas de las cuestiones que destacaron durante la jornada y sacaron algunas conclusiones sobre los diferentes temas tratados durante esta cuarta edición.
Workshops
Durante el desarrollo de la segunda jornada contamos con workshops paralelos en otras salas de los Teatro Luchana donde se subieron al escenario empresa colaboradoras en el evento como Plytix y nuestros sponsors CloudBees, Lacework y 42Crunch.
- ¿Cómo automatizar la seguridad en el mundo de las APIs? - Daniel García API Security Researcher y Isabelle Munay Field CTO de 42Crunch. Este primer workshop vino cargado de nuevos conceptos de seguridad para APIs, más allá del OWASP API Security Top 10 y nuevas técnicas de ataque y defensa de APIs REST, con un enfoque práctico, demos, ejemplos reales y software Open Source.
- Optimize DevOps with Application Release Orchestration - Pablo Navascues Jiménez, EMEA Solution Architect de CloudBees. En este segundo workshop vimos la introducción y Demo de CloudBees CD/ReleaseOrchestration, la plataforma unificada de Application Release Orchestration de CloudBees que brinda a las organizaciones control y escalabilidad de sus ciclos de entrega de software, permitiendo acelerar el tiempo de despliegue, aumentar la calidad, gobernabilidad y fiabilidad de la implementación, todo ello con total seguridad y de manera consistente y predecible.
- Continuous Testing: Un paso más allá en las Pipelines CI/CD - Francisco Guerrero, QA Manager de Plytix. Francisco nos contó en este workshop qué integrar la calidad en cada fase del ciclo de vida de la entrega de software no es fácil, pero reducir el riesgo y mejorar la calidad de las aplicaciones es obligatorio en un mundo tecnológicamente competitivo. Se cuestionaba el cómo podemos mejorar nuestras Pipelines de CI/CD para lograr este objetivo. Esta charla guió a los asistentes a través de diferentes ejemplos de pruebas tempranas, automatización generada directamente a partir de requisitos, lo que permite que cualquier equipo aprenda basándose en feedback rápido y continuo.
- Evita que las vulnerabilidades lleguen a producción - Ton Machielsen, responsable técnico para Lacework Iberia. En este workshop se revisó cómo se puede integrar Lacework dentro los pipelines de CI/CD para automatizar el control de vulnerabilidades críticas y evitar que estas puedan llegar a producción. La integración puede realizarse con Github, Gitlab, Bitbucket, CircleCI, Jenkins, ArgoCD, etc.