La sécurisation de la chaîne d’approvisionnement des logiciels est une préoccupation majeure pour les entreprises qui font confiance au développement et à la livraison d’applications en nuage. Dans le but d’équiper sa propre plate-forme GitOps Weave pour la livraison (d’applications) de confiance, Weaveworks a racheté l’entreprise Magalix. Son moteur de politique et de conformité doit faire partie intégrante de Weave GitOps afin d’automatiser encore davantage le fonctionnement des applications Kubernetes et de l’infrastructure sous-jacente grâce à des directives définies dans le code pour les processus GitOps.

Concilier agilité et confiance

Alors que GitOps, basé sur le logiciel de gestion de versions Git, offre des méthodes contrôlables et conformes aux règles pour le déploiement de logiciels et l’infrastructure en tant que code (IaC), les aspects de la sécurité et de la conformité ne sont souvent pas pris en compte dans la mesure requise. Selon une étude récente de Redmonk, de plus en plus d’entreprises souhaitent disposer de possibilités de contrôle plus étendues afin de pouvoir également garantir la sécurité et la conformité tout au long du cycle de vie des logiciels. C’est là que l’approche Policy-as-Code de Magalix intervient.

Selon Alexis Richardson, CEO et co-fondateur de Weaveworks, le Policy Engine s’intègre parfaitement dans les flux de travail GitOps de Weave et permet aux utilisateurs de faire le lien entre les équipes de développement, de sécurité et d’infrastructure. De la première ligne de code aux phases de construction et de déploiement, il s’agit d’appliquer des directives cohérentes et des bonnes pratiques qui garantissent des processus agiles et de confiance, même dans plusieurs environnements Kubernetes.

Policy as Code sur l’ensemble du cycle de vie du logiciel

Selon l’annonce faite sur le blog de Weaveworks, le Magalix Policy Engine est désormais disponible en option payante pour les utilisateurs des versions open source de Weave GitOps et de Flux, l’opérateur GitOps développé pour Kubernetes. Il doit notamment permettre de garantir la vérifiabilité de la chaîne d’approvisionnement logicielle, d’imposer les meilleures pratiques en matière d’IAM, de gestion des vulnérabilités et des secrets et d’empêcher la mise en service de versions logicielles non conformes avant même le déploiement.

Dans le cadre de cette acquisition, Weaveworks intègre non seulement le Magalix Policy Engine dans ses propres produits, mais les deux fondateurs de Magalix, Mohammed Ahmed et Ahmed Badran, ainsi que l’équipe de 30 développeurs basée en Égypte, rejoignent également le personnel de Weaveworks. Ahmed prend le poste de vice-président des plateformes de développement de Weaveworks, Badran devient directeur de l’ingénierie. L’annonce officielle de Weaveworks ainsi que les billets de blog des fondateurs de Magalix et du CEO de Weaveworks Alexis Richardson fournissent de plus amples détails sur cette acquisition.