devops

powered by meeting-minutes-bot

邀请入群的方式也挺有用。
我觉得lowcode大部分的用途都是缝合怪，在要自建各种平台的时候很有用。比如快速搞一个DevOps平台，又要管仓库，又要管代码质量，还要扫代码依赖库漏洞或者协议，还要控制发版窗口期以及发版审批，这种时候用个lowcode工具建个模，搞搞接口打通，能省很多人力

devops 平台听你这么一说又好像有点像程序员的 OA 系统？我的理解是这样一个平台是用来增加程序执行的硬性规定，减少人为操作不合规的部分？

你可以看看coding，从需求进来到开发测试上线一条龙，目前看集成度就好的了

之前感觉各种工具混在一起能用就行，gitlab 管仓库，openproject 管排期和审批，sonarqube 管代码质量，漏洞扫描用 github 收购的那个（一时想不起来名字了），靠入职培训和 review 确保工作流运行正常

这些工具都是没有业务视角的，但是现实往往有自身的业务，围绕现实的流程走起来就不方便了，始终要有一个平台把工具串联起来。

比如gitlab也有issue，但是你能让用户直接给你gitlab提issue吗？大部分情况不能，一般是对外还有一个工单系统，工单系统里的问题经过了转换才会进入到issue里。把issue排进迭代，到开发，中途的测试用例和自动化测试脚本，以及到了生产验证通过之后要自动关闭外部工单，这些都是现实存在的业务流程，但是各种工具都是独立闭环的，需要有一个缝合怪把各个流程节点去串联起来

比如构建部署代码可以用Jenkins，但是Jenkins不能控制晚上10点之后的上线必须要有xx角色审批同意后才可以

确实是这样，我只考虑了内部开发人员使用

好像是有必要，之前只想着代码 review 完手动点发布就行，这里看起来可以在非正常发布时间要求一个平时不负责 review 但是对发布负责的人专门对发布进行审批 😂

其实是为了保证质量，减少事故。当客户贼多体量还很大的时候，对于生产环境的任何变更都是要严格按照流程的。最简单一个例子，一条DDL的SQL要发布到生产环境，不是运维直接执行就可以的，而是必须在测试环境执行过。最近salesforce手工变更dns导致的大事故就是没有规范，跳了流程

了解，我之前关注点都在独立项目本身了 😂

现在安全吹的DevSecOps也是各种独立工具各自为战，没有串起来，也是需要一个缝合怪的角色

那以后 devops 程序员会不会最早成为 lowcode 程序员

我觉得走得快的那一批运维其实已经可以看作是lowcode程序员了

DevSecOps我举一个个人认为有价值的场景
1.研发写的代码，能自动或者半自动甚至手动搞Api接口文档，不限格式比如yapi或者swargger
2.测试基于接口有跑基本的自动化脚本，总而言之就是覆盖了api里面的参数，可以让接口crud通
3.扫描器工具可以集成api信息，做定期或者触发式扫描，而且一个case跑完还能清理下垃圾数据，做不到的话数据库回滚到扫描前状态也可以
3.1.如果是java或者php技术栈，还可以打通Open Rasp做漏洞发现
3.2 发现漏洞之后自动生成工单
4.开发修复漏洞之后变更工单状态，然后触发扫描器再次进行漏洞扫描
5.再次扫描通过之后，允许代码合并

6. 把变更代码拉出来，再关联一下该漏洞分类下的一些wiki知识，做成一个漏洞报告提供其他人学习

lowcode能做到吗？可以能也可以不能，因为需要对基础工具做大量的封装，一旦封装过了就可以很低成本地把这些工具串起来了，我之前就设想过给写一堆npm包，做成node-red可以安装的插件节点，那样就能拖拉拽串联起很多场景

现实世界里充满了各种各样的线索，但是没有很好的工具串联起来，每样都是独立的。
程序连接了数据库、程序也集成了探针、数据库有慢日志和分析引擎、也有开源的SQL自动优化工具、网关也有日志产生也能写到ELK里，但是从一条50x的网关日志里自动分析出可能产生的因素，那就需要一个缝合怪做去脏活累活了

从我的角度来看好像只是 ci 流程中做了安全扫描和漏洞报告？

现在都在提安全左移，也就是安全活动越贴近开发环节成本越低而且价值越大，比如你一引入一个低版本存在漏洞的依赖库就立马告警

可能这就是 SAP 之类企业服务的用途吧，感觉这种分析流程说的有点像 AIOps？