Lektionen, die wir von der Datenbankadministration auf dem Weg zu DevOps lernen können

Die Vorstellung, dass die Sicherheit erfolgreich sein könnte, während sie in den Händen der technischen Teams liegt, wird oft als Anathema für die Informationssicherheit angesehen. Aber das ist auch in anderen schwierigen Problembereichen wie der Datenbankverwaltung (DBA) der Fall.

DBA hat sich auf das "DevOps"-Modell verlagert (und nein, es heißt nicht DevDBOps). Ohne die Einführung von DevOps-Prinzipien leiden sowohl die Geschwindigkeit als auch die Qualität:

• Unausgewogene Verantwortung und Autorität

• Überlastetes Personal für den Datenbankbetrieb

• Unterbrochene Rückkopplungsschleifen aus der Produktion

• Geringere Produktivität der Entwickler

Kommt dir das bekannt vor? Wie DBA sind auch Sicherheitsprogramme traditionell in einem speziellen, zentralen Team angesiedelt, das von den technischen Teams getrennt ist, und stehen oft im Widerspruch zur Entwicklungsarbeit. Was können wir noch über die Anwendung von DevOps auf DBA lernen?

• Die Entwickler sind für das Datenbankschema, die Arbeitslast und die Leistung verantwortlich.

• Entwickler/innen beheben ihre eigenen Ausfälle und beheben sie.

• Schema und Datenmodell als Code.

• Es gibt eine einzige vollautomatische Verteilungspipeline.

• Die App-Bereitstellung umfasst automatische Schema-Migrationen.

• Automatisierte Aktualisierungen der Vorproduktion aus der Produktion.

• Es gibt eine Automatisierung von Datenbankoperationen.

Diese Eigenschaften sind ein Beispiel für ein dezentrales Paradigma für die Datenbankarbeit. Es gibt kein einzelnes Team, dem die Datenbankarbeit oder das Fachwissen "gehört". Wenn in einem bestimmten Teil des Systems etwas schief läuft, ist das für diesen Teil des Systems zuständige Entwicklungsteam auch dafür verantwortlich, herauszufinden, was schief läuft und es zu beheben. Die Teams nutzen die Automatisierung der Datenbankarbeit, um die Einstiegshürde zu senken und die kognitive Belastung für die Entwickler/innen zu verringern, so dass nicht mehr so viel Datenbankwissen benötigt wird. Es stellt sich heraus, dass ein Großteil des erforderlichen Fachwissens in mühsamer Arbeit steckt; wenn manuelle, mühsame Aufgaben wegfallen, wird es für alle einfacher.

Es ist erwähnenswert, dass die Mühen und die Komplexität bei dieser Transformation nicht wirklich verschwunden sind (zumindest größtenteils); sie wurden nur hochgradig automatisiert und hinter Abstraktionsbarrieren versteckt, die von Cloud- und SaaS-Providern angeboten werden. Und der größte Einwand gegen diese Umstellung - dass sie entweder die Leistung ruinieren oder den Betrieb behindern würde - hat sich (meistens) als falsch erwiesen. Die meisten Unternehmen stoßen einfach nie auf Probleme, die die Grenzen dieses Ansatzes aufzeigen.

Wie der Daten- und Software-Ingenieur Alex Rasmussen anmerkt, ist dies derselbe Grund, warum SQL auf Cloud-Warehouses benutzerdefinierte Spark-Aufträge weitgehend ersetzt hat. Einige Unternehmen brauchen die Leistung und Flexibilität von Spark und sind bereit, den Aufwand zu investieren, um es erfolgreich zu machen. Die große Mehrheit der Unternehmen möchte jedoch nur einige strukturierte Daten aggregieren und ein paar Joins durchführen. Inzwischen haben wir diesen "gewöhnlichen" Modus hinreichend verstanden, so dass unsere Lösungen, die auf diesen gewöhnlichen Modus abzielen, ziemlich robust sind. Es wird immer Ausreißer geben, aber dein Unternehmen gehört wahrscheinlich nicht dazu.

Auch bei der Sicherheit gibt es Parallelen zu dieser Dynamik. Wie viele Leute machen ihre eigene Zahlungsabwicklung in einer Welt, in der es viele Zahlungsabwicklungsplattformen gibt? Wie viele Leute machen ihre eigene Authentifizierung, wenn es Anbieter von Identitätsmanagement-Plattformen gibt? Dies spiegelt auch das Prinzip "Wähle das Langweilige" wider, das wir im letzten Kapitel besprochen haben und später in diesem Kapitel im Zusammenhang mit dem Aufbau und der Bereitstellung von Lösungen diskutieren werden. Wir sollten davon ausgehen, dass unser Problem langweilig ist, bis das Gegenteil bewiesen ist.

Wenn wir die Attribute des DBA an die DevOps-Transformation für die Sicherheit anpassen, könnten sie etwa so aussehen:

• Entwickler haben eigene Sicherheitsmuster, Arbeitsbelastung und Leistung.

• Entwickler debuggen, beheben und reparieren ihre eigenen Vorfälle.

• Sicherheitsrichtlinien und -regeln als Code.

• Es gibt eine einzige, vollständig automatisierte Verteilungspipeline.

• Die App-Bereitstellung beinhaltet automatische Änderungen der Sicherheitskonfiguration.

• Automatisierte Aktualisierungen der Vorproduktion aus der Produktion.

• Automatisierung von Sicherheitsmaßnahmen.

Du kannst diese Eigenschaften nicht durch ein Sicherheitsteam erreichen, das über alle herrscht. Die einzige Möglichkeit, diese Angleichung von Verantwortung und Rechenschaftspflicht zu erreichen, ist die Dezentralisierung der Sicherheitsarbeit. Security-Champions-Programme sind eine Möglichkeit, mit der Dezentralisierung von Sicherheitsprogrammen zu beginnen. Unternehmen, die mit diesem Modell experimentiert haben (wie Twilio, dessen Fallstudie über ihr Programm im früheren SCE-Bericht zu finden ist), berichten von erfolgreichen Ergebnissen und einer engeren Zusammenarbeit zwischen Sicherheit und Softwareentwicklung. Aber Security Champions Programme sind nur eine Brücke. Wir brauchen ein Team, das sich der Dezentralisierung widmet. Deshalb widmen wir das gesamte Kapitel 7 dem Platform Resilience Engineering.

Welche Praktiken fördern die Resilienz bei der Entwicklung und Bereitstellung von Software? Wir werden uns nun damit beschäftigen, welche Praktiken die einzelnen Bestandteile unseres Resilienztranks fördern.

Festlegung von Systemzielen und Richtlinien zum Thema "Was aus der Luftschleuse geworfen werden soll "

Eine Praxis zur Unterstützung kritischer Funktionen in dieser Phase ist der sogenannte "Schleusenansatz": Wann immer wir Software entwickeln und ausliefern, müssen wir festlegen, was wir "aus der Schleuse werfen" können. Welche Funktionen und Komponenten kannst du vorübergehend vernachlässigen, ohne dass das System seine kritischen Funktionen vernachlässigen muss? Was würdest du gerne während eines Zwischenfalls vernachlässigen können? Wie auch immer deine Antwort ausfällt, stelle sicher, dass du die Software so entwickelst, dass du diese Dinge bei Bedarf tatsächlich vernachlässigen kannst. Das gilt sowohl für Sicherheitsvorfälle als auch für Leistungsvorfälle. Wenn eine Komponente gefährdet ist, kannst du sie abschalten, wenn sie unkritisch ist.

Wenn zum Beispiel die Verarbeitung von Transaktionen die kritische Funktion deines Systems ist und das Berichtswesen nicht, solltest du das System so aufbauen, dass du das Berichtswesen "aus der Luftschleuse werfen" kannst, um Ressourcen für den Rest des Systems zu sparen. Es ist möglich, dass das Berichtswesen extrem lukrativ ist - deine größte Gelddruckmaschine - und dennoch kann es geopfert werden, weil die Aktualität des Berichtswesens weniger wichtig ist. Das heißt, um die Sicherheit des Systems und die Genauigkeit der Meldungen zu gewährleisten, opferst du den Meldedienst in einem ungünstigen Szenario - auch wenn er der wertvollste Dienst ist -, weil seine kritische Funktionalität auch mit einer Verzögerung aufrechterhalten werden kann.

Ein weiterer Vorteil ist, dass wir die kritischen Funktionen so genau wie möglich definieren können, um die Größe der Batches einzuschränken - eine wichtige Dimension für unsere Fähigkeit, zu verstehen, was wir bauen und liefern wollen. Wenn wir sicherstellen, dass die Teams den Datenfluss in einem Programm verfolgen können, für das sie zuständig sind, können wir verhindern, dass sich die mentalen Modelle zu weit von der Realität entfernen.

Dieser rücksichtslose Fokus auf kritische Funktionen kann auch auf lokalere Ebenen angewendet werden. Wie wir im letzten Kapitel besprochen haben, führt der Trend zu Einzweckkomponenten zu mehr Linearität im System und hilft uns, die Funktion jeder Komponente besser zu verstehen. Wenn die kritische Funktion unseres Codes unklar bleibt, warum schreiben wir ihn dann?

Codeüberprüfungen und mentale Modelle

Codeüberprüfungen helfen uns zu überprüfen, ob die Implementierung unserer kritischen (und auch unkritischen) Funktionen mit unseren mentalen Modellen übereinstimmt. Codeüberprüfungen sind im besten Fall eine Rückmeldung eines mentalen Modells an ein anderes mentales Modell. Wenn wir ein Design durch Code verifizieren, setzen wir unser mentales Modell um. Wenn wir den Code einer anderen Person überprüfen, erstellen wir ein mentales Modell des Codes und vergleichen es mit unserem mentalen Modell der Absicht.

In modernen Softwareentwicklungs-Workflows werden Codeüberprüfungen in der Regel durchgeführt, nachdem ein Pull Request ("PR") eingereicht wurde. Wenn ein Entwickler den Code lokal ändert und ihn in die Hauptcodebasis (den sogenannten "Hauptzweig") einbringen will, eröffnet er einen PR, der einen anderen Mitarbeiter darüber informiert, dass diese Änderungen - die sogenannten "Commits" - zur Überprüfung bereit sind. In einem Modell mit kontinuierlicher Integration und kontinuierlicher Bereitstellung (CI/CD) sind alle Schritte, die mit Pull Requests verbunden sind, einschließlich des Zusammenführens der Änderungen in den Hauptzweig, automatisiert - mit Ausnahme der Codeüberprüfung.

Im Zusammenhang mit dem iterativen Änderungsmodell, das wir später im Kapitel besprechen werden, wollen wir auch, dass unsere Codeüberprüfungen klein und schnell sind. Wenn der Code eingereicht wird, sollte der Entwickler früh und schnell eine Rückmeldung erhalten. Um sicherzustellen, dass der Prüfer seine Prüfung schnell durchführen kann, sollten die Änderungen klein sein. Wenn ein Prüfer einen PR mit vielen Änderungen auf einmal zugewiesen bekommt, kann es einen Anreiz geben, zu sparen. Sie könnten den Code nur überfliegen, "lgtm" (sieht gut aus) kommentieren und sich dann einer Arbeit zuwenden, die sie für wertvoller halten (z. B. ihren eigenen Code schreiben). Schließlich bekommen sie keinen Bonus oder werden befördert, weil sie Codeüberprüfungen sorgfältig durchgeführt haben; sie werden viel eher dafür belohnt, dass sie Code schreiben, der wertvolle Änderungen in die Produktion einbringt.

Manchmal werden kritische Funktionen bei der Codeüberprüfung übersehen, weil unsere mentalen Modelle, wie wir im letzten Kapitel besprochen haben, unvollständig sind. In einer Studie wurde festgestellt, dass "die Fehlerbehandlungslogik oft einfach falsch ist", und ein einfaches Testen dieser Logik würde viele kritische Produktionsausfälle in verteilten Systemen verhindern.³ Auch für Tests brauchen wir Codeüberprüfungen, bei denen andere Leute die von uns geschriebenen Tests validieren.

Wie können wir Anreize für durchdachte Codeüberprüfungen schaffen? Es gibt ein paar Dinge, die wir tun können, um das Schneiden von Ecken und Kanten zu verhindern, angefangen damit, dass wir sicherstellen, dass alle Erbsenzählereien von Tools erledigt werden. Ingenieure sollten nie auf Probleme mit der Formatierung oder Leerzeichen am Ende hinweisen müssen; alle stilistischen Bedenken sollten automatisch geprüft werden. Wenn wir sicherstellen, dass automatisierte Tools diese Art von pingeliger Routinearbeit erledigen, können sich die Ingenieure auf höherwertige Tätigkeiten konzentrieren, die die Widerstandsfähigkeit fördern.

"Langweilige" Technologie ist widerstandsfähige Technologie

Eine weitere Praxis, die uns dabei helfen kann, unsere kritischen Funktionen zu verfeinern und ihre Widerstandsfähigkeit gegen Angriffe aufrechtzuerhalten, ist die Wahl "langweiliger" Technologie. Wie in Dan McKinleys berühmtem Beitrag "Choose Boring Technology" (Wähle langweilige Technologie) dargelegt , ist langweilig nicht per se schlecht. Vielmehr sind langweilige Technologien ein Zeichen für gut verstandene Fähigkeiten, die uns helfen, die Komplexität in den Griff zu bekommen und das Übergewicht der "verwirrenden Interaktionen" in unseren Systemen zu reduzieren (sowohl das System als auch unsere mentalen Modelle werden linearer).

Im Gegensatz dazu sind neue, "sexy" Technologien weniger bekannt und sorgen eher für Überraschungen und Verwirrung. Bleeding Edge ist ein passender Name, wenn man bedenkt, wie schmerzhaft die Umsetzung sein kann - vielleicht scheint es zunächst nur eine Fleischwunde zu sein, aber sie kann dir und deinen Teams auf Dauer die kognitive Energie rauben. Im Endeffekt führt dies zu einer stärkeren Kopplung und interaktiven Komplexität (abnehmende Linearität). Wenn du dich an das letzte Kapitel erinnerst, führt die Entscheidung für "langweilig" zu einem umfassenderen Verständnis, das weniger Spezialwissen erfordert - ein Merkmal linearer Systeme - und fördert gleichzeitig eine lockerere Kopplung auf verschiedene Weise.

Wenn du also ein durchdachtes Design erhältst (z. B. eines, das auf den Lehren aus Kapitel 3 beruht!), solltest du überlegen, ob die Entscheidungen, die du bei der Programmierung, Erstellung und Bereitstellung triffst, zusätzliche Komplexität und ein höheres Überraschungspotenzial mit sich bringen - und ob du dich selbst oder dein Unternehmen eng an diese Entscheidungen bindest. Softwareentwicklerinnen und -entwickler sollten sich für Sprachen, Frameworks, Werkzeuge usw. entscheiden, mit denen sie spezifische Geschäftsprobleme am besten lösen können. Den Endnutzer interessiert es nicht, dass du das neueste und beste Tool benutzt, das auf HackerNews angepriesen wird. Er will deinen Dienst nutzen, wann immer er will, so schnell wie er will und mit der Funktionalität, die er will. Manchmal erfordert die Lösung dieser Geschäftsprobleme eine neue, ausgefallene Technologie, wenn sie dir einen Vorteil gegenüber deinen Mitbewerbern verschafft (oder auf andere Weise den Auftrag deines Unternehmens erfüllt). Sei jedoch vorsichtig, wie oft du "langweilige" Technologien einsetzt, um dich von deinen Mitbewerbern abzuheben, denn die "blutigen" Kanten erfordern viele Blutopfer, um sie zu erhalten.

Während der Build- und Delivery-Phase müssen wir darauf achten, wie wir unsere kognitiven Anstrengungen priorisieren - und wie wir unsere Ressourcen im Allgemeinen einsetzen. Du kannst deine begrenzten Ressourcen für ein superschickes neues Tool ausgeben, das mithilfe von KI Unit-Tests für dich schreibt. Oder du kannst sie in die Entwicklung komplexer Funktionen stecken, die ein Problem für deine Zielgruppen besser lösen. Ersteres dient deinem Geschäft nicht direkt und hebt dich nicht von anderen ab; es fügt einen erheblichen kognitiven Overhead hinzu, der deinen kollektiven Zielen nicht dient, und das für einen ungewissen Nutzen (der erst nach einem mühsamen Abstimmungsprozess und dem Ziehen von Haaren aus minimalen Fehlerbehebungsdokumenten eintreten würde).

"Okay", sagst du, "aber was ist, wenn das neue, glänzende Ding wirklich richtig, richtig cool ist?" Weißt du, wer auch wirklich coole, neue, glänzende Software mag? Angreifer. Sie lieben es, wenn Entwickler neue Tools und Technologien einsetzen, die sie noch nicht richtig verstanden haben, denn das schafft viele Möglichkeiten für Angreifer, Fehler oder sogar beabsichtigte Funktionen auszunutzen, die noch nicht ausreichend gegen Missbrauch geprüft wurden. Auch Schwachstellenforscher haben einen Lebenslauf, und es sieht beeindruckend aus, wenn sie demonstrieren können, wie sie das neue, glänzende Ding ausnutzen können (was normalerweise als "Besitz" des Dings bezeichnet wird). Sobald sie die Details veröffentlichen, wie sie das neue, glänzende Ding ausgenutzt haben, können kriminelle Angreifer herausfinden, wie sie es in einen wiederholbaren, skalierbaren Angriff verwandeln können (und so die Fun-to-Profit-Pipeline der offensiven Informationssicherheit vervollständigen).

Sicherheits- und Beobachtungstools sind auch nicht von diesem "langweiligen" Prinzip ausgenommen. Unabhängig von deinem "offiziellen" Titel - und unabhängig davon, ob du eine Führungskraft, ein Manager oder ein einzelner Mitarbeiter bist - solltest du einfache, gut verständliche Sicherheits- und Beobachtungstools auswählen und fördern, die in deinen Systemen einheitlich eingesetzt werden. Angreifer lieben es, "besondere" Implementierungen von Sicherheits- oder Beobachtungstools zu finden und sind stolz darauf, neue, glänzende Abhilfemaßnahmen zu besiegen, die damit prahlen, Angreifer auf die eine oder andere Weise zu besiegen.

Viele Sicherheits- und Überwachungs-Tools benötigen spezielle Berechtigungen (z. B. als Root, Administrator oder Domänenadministrator) und umfassenden Zugriff auf andere Systeme, um ihre Funktion erfüllen zu können. Das macht sie zu fantastischen Werkzeugen für Angreifer, um sich tiefgreifenden, mächtigen Zugriff auf deine kritischen Systeme zu verschaffen (denn das sind diejenigen, die du besonders schützen und überwachen willst). Ein neues, glänzendes Sicherheitstool verspricht vielleicht, dass ausgefallene Mathematik all deine Angriffsprobleme lösen wird, aber diese Ausgefallenheit ist das Gegenteil von langweilig und kann zu einer Vielzahl von Kopfschmerzen führen, z. B. zu einem hohen Zeitaufwand für die kontinuierliche Anpassung, zu Netzwerkengpässen aufgrund von Datenabschöpfung, zu Kernel-Paniken oder natürlich zu einer Schwachstelle im Tool (oder seinen ausgefallenen Sammlungs- und KI-gesteuerten, regelbetriebenen Kanälen), die Angreifern einen wunderbaren Zugang zu allen Systemen bietet, die für dich wichtig sind.

Du könntest zum Beispiel versucht sein, die Authentifizierung oder den Schutz vor Cross-Site Request Forgery (XSRF) selbst zu entwickeln. Abgesehen von Randfällen, in denen die Authentifizierung oder der XSRF-Schutz Teil des Wertes ist, den dein Dienst deinen Kunden bietet, ist es viel sinnvoller, "langweilig" zu sein und Middleware für die Authentifizierung oder den XSRF-Schutz zu implementieren. Auf diese Weise nutzt du die Expertise des Anbieters in diesem "exotischen" Bereich.

Der Punkt ist, dass es einfacher ist, das System zu warten und zu betreiben und es somit sicher zu halten, wenn du dich für die "am wenigsten schlechten" Werkzeuge für so viele deiner nicht differenzierenden Probleme wie möglich entscheidest. Wenn du für jedes einzelne Problem das beste Werkzeug oder die beste Regel auswählst, werden Angreifer die daraus resultierende kognitive Überlastung und die unzureichende Zuweisung von Komplexitätsmünzen in Dinge, die das System widerstandsfähiger gegen Angriffe machen, gerne ausnutzen. Natürlich ist es auch nicht sinnvoll, an etwas Langweiligem festzuhalten, das ineffektiv ist und die Widerstandsfähigkeit mit der Zeit untergräbt. Wir wollen den goldenen Mittelweg zwischen langweilig und effektiv finden.

Standardisierung von Rohstoffen

Die letzte Praxis, die wir im Bereich kritischer Funktionen behandeln werden, ist die Standardisierung der "Rohmaterialien", die wir bei der Entwicklung und Bereitstellung von Software verwenden - oder wenn wir Softwareentwicklungsteams Praktiken empfehlen. Wie wir im letzten Kapitel besprochen haben, können wir uns unter "Rohstoffen" in Softwaresystemen Sprachen, Bibliotheken und Werkzeuge vorstellen (dies gilt auch für Firmware und andere Rohstoffe, die in Computerhardware wie CPUs und GPUs eingesetzt werden). Diese Rohstoffe sind Elemente, die in die Software eingewebt werden und die für den Betrieb des Systems belastbar und sicher sein müssen.

Bei der Entwicklung von Softwarediensten müssen wir gezielt Sprachen, Bibliotheken, Frameworks, Dienste und Datenquellen auswählen, da der Dienst einige der Eigenschaften dieser Rohstoffe erbt. Viele dieser Materialien können gefährliche Eigenschaften haben, die für den Aufbau eines Systems, das deinen Anforderungen entspricht, ungeeignet sind. Oder die Gefahr ist zu erwarten, und da es keine bessere Alternative für deine Problemdomäne gibt, musst du lernen, damit zu leben, oder dir andere Wege überlegen, um die Gefahren durch Design zu reduzieren (mehr dazu in Kapitel 7). Wenn du dich für mehr als einen Rohstoff in einer Kategorie entscheidest, hast du in der Regel die Nachteile von beiden.

Die National Security Agency (NSA) empfiehlt offiziell speichersichere Sprachen wie C#, Go, Java, Ruby, Rust und Swift zu verwenden, wo immer dies möglich ist. Der CTO von Microsoft Azure, Mark Russovovich, twitterte noch deutlicher: "Apropos Sprachen, es ist an der Zeit, keine neuen Projekte mehr in C/C++ zu starten und Rust für die Szenarien zu verwenden, in denen eine Nicht-GC-Sprache erforderlich ist. Um der Sicherheit und Zuverlässigkeit willen sollte die Industrie diese Sprachen für veraltet erklären." Speichersicherheitsprobleme schaden sowohl dem Benutzer als auch dem Hersteller eines Produkts oder einer Dienstleistung, weil Daten, die sich nicht ändern sollten, auf magische Weise einen anderen Wert annehmen können. Wie Matt Miller, Partner Security Software Engineer bei Microsoft, 2019 vorstellte, sind ~70% der behobenen Sicherheitslücken mit einem CVE zugewiesenen Speicher-Sicherheitslücken, weil Softwareentwickler versehentlich Speicher-Sicherheitsfehler in ihren C- und C++-Code einbauen.

Wenn du Software entwickelst oder überarbeitest, solltest du eine der Dutzenden beliebten Sprachen wählen, die standardmäßig speichersicher sind. Das ist gut für uns, denn wir haben eine Fülle von speichersicheren Optionen, aus denen wir schöpfen können. Wir können uns C-Code wie Blei vorstellen: Er war für viele Anwendungsfälle recht praktisch, aber er vergiftet uns mit der Zeit, vor allem, wenn sich mehr davon ansammelt.

Im Idealfall wollen wir weniger gefährliche Rohstoffe so schnell wie möglich übernehmen, aber diese Aufgabe ist oft nicht trivial (wie die Migration von einer Sprache zur anderen). Bei kleineren Systemen, die über relativ vollständige Integrations-, End-to-End- (E2E) und Funktionstests verfügen, kann ein kompletter Rewrite funktionieren - aber diese Bedingungen sind nicht immer gegeben. Das Strangler-Fig-Muster, das wir am Ende des Kapitels besprechen werden, ist der naheliegendste Ansatz, um unsere Codebasis iterativ zu verändern.

Eine andere Möglichkeit ist, eine Sprache zu wählen, die sich gut mit C integrieren lässt, und deine Anwendung zu einer polyglotten Anwendung zu machen, indem du sorgfältig auswählst, welche Teile du in jeder Sprache schreibst. Dieser Ansatz ist granularer als das Strangler-Fig-Muster und ähnelt dem Oxidation-Projekt, Mozillas Ansatz zur Integration von Rust-Code in und um Firefox (hier findest du eine Anleitung für die Migration von C zu Rust, falls du sie brauchst). Manche Systeme können sogar auf unbestimmte Zeit in diesem Zustand bleiben, wenn es Vorteile hat, Hoch- und Niedrigsprachen gleichzeitig im selben Programm zu haben. Spiele sind ein typisches Beispiel für diese Dynamik: Der Code der Spiel-Engine muss schnell sein, um das Speicherlayout zu kontrollieren, aber der Code des Spiels muss schnell zu iterieren sein, und die Leistung ist viel weniger wichtig. Aber im Allgemeinen sind polyglotte Dienste und Programme selten, was die Standardisierung von einigen Materialien etwas einfacher macht.

Sicherheitsteams, die die Einführung von Speichersicherheit vorantreiben wollen, sollten sich mit den Menschen in deinem Unternehmen zusammentun, die versuchen, technische Standards - seien es Praktiken, Tools oder Frameworks - zu entwickeln, und sich an diesem Prozess beteiligen. Alles in allem ist die Aufrechterhaltung der Konsistenz wesentlich besser für die Ausfallsicherheit. Die Menschen, die du suchst, sind in der technischen Organisation, stellen die Verbindungen her und setzen sich für die Einführung dieser Standards ein.

Auf der anderen Seite haben diese Menschen ihre eigenen Ziele: Sie wollen produktiv mehr Software und die Systeme bauen, die das Unternehmen braucht. Wenn deine Fragen unsensibel sind, werden sie dich ignorieren. Bitte also nicht darum, dass die Laptops der Entwickler aus Sicherheitsgründen vom Internet getrennt werden. Wenn du die Sicherheitsvorteile der Umstrukturierung von C-Code in eine speichersichere Sprache hervorhebst, ist das konstruktiver, da es wahrscheinlich auch ihren Zielen entspricht - denn Produktivität und betriebliche Gefahren schleichen sich bekanntermaßen in C ein. Die Sicherheitsbehörden können mit dieser Gruppe von Menschen in Bezug auf C eine große Gemeinsamkeit haben, da auch sie C loswerden wollen (abgesehen von den Menschen, die gelegentlich darauf bestehen, dass wir alle in Assembler schreiben und die Intel-Bedienungsanleitung lesen sollten).

Caches sind ein Beispiel für ein gefährliches Rohmaterial, das oft als notwendig erachtet wird. Wenn wir Daten für einen Dienst zwischenspeichern, ist es unser Ziel, das Verkehrsaufkommen für den Dienst zu reduzieren. Eine hohe Cache Hit Ratio (CHR) gilt als erfolgreich, und es ist oft kostengünstiger, Caches zu skalieren als den dahinter stehenden Dienst. Caches können die einzige Möglichkeit sein, um deine Leistungs- und Kostenziele zu erreichen, aber einige ihrer Eigenschaften gefährden die Fähigkeit des Systems, die Ausfallsicherheit zu gewährleisten.

Es gibt zwei Gefahren in Bezug auf die Ausfallsicherheit. Die erste ist banal: Immer wenn sich Daten ändern, müssen die Caches ungültig gemacht werden, sonst erscheinen die Daten veraltet. Wenn das System auf konsistente Daten angewiesen ist, kann die Invalidierung zu einem merkwürdigen oder falschen Verhalten des Gesamtsystems führen - diese "verwirrenden" Interaktionen in der Gefahrenzone. Wenn die sorgfältige Koordination nicht stimmt, können veraltete Daten auf unbestimmte Zeit im Cache verrotten.

Die zweite Gefahr ist ein systemischer Effekt: Wenn die Caches jemals fehlschlagen oder sich verschlechtern, üben sie Druck auf den Dienst aus. Bei hohen CHRs kann selbst ein teilweiser Cache-Ausfall einen Backend-Dienst überfordern. Wenn der Backend-Dienst ausfällt, können die Cache-Einträge nicht aufgefüllt werden, und das führt dazu, dass der Backend-Dienst mit noch mehr Datenverkehr bombardiert wird. Dienste ohne Cache werden langsamer, erholen sich aber schnell wieder, wenn mehr Kapazität hinzugefügt wird oder der Datenverkehr nachlässt. Dienste mit einem Cache brechen zusammen, wenn sie sich ihrer Kapazität nähern, und die Wiederherstellung erfordert oft erhebliche zusätzliche Kapazitäten über den Steady-State hinaus.

Doch trotz dieser Gefahren sind Caches aus Sicht der Ausfallsicherheit nicht uninteressant. Sie erhöhen die Ausfallsicherheit, weil sie die Anfragen vom Ursprung (d. h. dem Backend-Server) entkoppeln können; der Dienst ist besser gegen Überraschungen gewappnet, aber nicht unbedingt gegen dauerhafte Ausfälle. Die Kunden sind nun weniger eng an das Verhalten des Ursprungs gekoppelt, sondern stattdessen eng mit dem Cache verbunden. Diese enge Kopplung sorgt für mehr Effizienz und geringere Kosten, weshalb das Caching weit verbreitet ist. Aber aus den eben genannten Gründen der Ausfallsicherheit betreiben nur wenige Unternehmen ihre eigenen Caches. So lagern sie das Caching des Webverkehrs häufig an einen speziellen Anbieter aus, z. B. an ein Content Delivery Network (CDN).

In dieser Phase können wir vier Praktiken anwenden, um die kritische Funktionalität, die erste Zutat unseres Resilienztranks, zu unterstützen: den Schleusenansatz, durchdachte Codeüberprüfungen, die Auswahl "langweiliger" Technologien und die Standardisierung von Rohstoffen. Kommen wir nun zur zweiten Zutat: dem Verständnis der Sicherheit des Systems Grenzen (Schwellenwerte).

Vorausschauende Skala und SLOs

Die erste Praxis in dieser Phase die uns helfen kann, unsere Sicherheitsgrenzen zu erweitern, ist, einfach ausgedrückt, die Vorwegnahme des Umfangs. Bei der Entwicklung von robusten Softwaresystemen müssen wir berücksichtigen, wie sich die Betriebsbedingungen entwickeln könnten und wo die Grenzen des sicheren Betriebs liegen. Trotz bester Absichten treffen Softwareentwickler manchmal Architektur- oder Implementierungsentscheidungen, die zu Engpässen bei der Zuverlässigkeit oder Skalierbarkeit führen.

Die Antizipation von Skaleneffekten ist eine weitere Möglichkeit, die im letzten Kapitel beschriebenen "Das wird immer so sein"-Annahmen in Frage zu stellen, die Angreifer für ihre Operationen ausnutzen. Nehmen wir einen eCommerce-Dienst. Wir denken vielleicht: "Bei jeder eingehenden Anfrage müssen wir diese zuerst mit dem vorherigen Warenkorb des Nutzers abgleichen, was bedeutet, dass wir eine Anfrage an diese andere Sache stellen müssen." In diesem mentalen Modell steckt die Annahme "das wird immer so sein": dass das "andere Ding" immer da sein wird. Wenn wir nachdenklich sind, müssen wir hinterfragen: "Was ist, wenn dieses andere Ding nicht da ist? Was passiert dann?" So können wir unsere Konstruktion verfeinern (und wir sollten das Warum - dieAnnahme, die wir in Frage gestellt haben - dokumentieren, wie wir später in diesem Kapitel besprechen werden). Was ist, wenn der Warenkorb des Nutzers nur langsam geladen wird oder nicht verfügbar ist?

Das Infragestellen unserer "Das wird immer so sein"-Annahmen kann auch auf niedrigeren Ebenen potenzielle Skalierbarkeitsprobleme aufdecken. Wenn wir sagen: "Wir beginnen immer mit einem Kontrollflussdiagramm, das das Ergebnis einer früheren Analyse ist", können wir diese Annahme mit einer Frage wie "Was ist, wenn diese Analyse entweder super langsam ist oder fehlschlägt?" in Frage stellen. Indem wir uns die Mühe machen, das Ausmaß zu antizipieren, können wir sicherstellen, dass wir die Sicherheitsgrenzen unseres Systems nicht künstlich einschränken - und dass potenzielle Schwellenwerte in unsere mentalen Modelle des Systems einfließen.

Wenn wir Komponenten entwickeln, die als Teil großer, verteilter Systeme laufen sollen, müssen wir bei der Skalierung auch voraussehen, was die Betreiber bei Störungen brauchen (d.h. welche Anstrengungen sie unternehmen müssen). Wenn ein Techniker auf Abruf stundenlang braucht, um herauszufinden, dass der Grund für die plötzliche Verlangsamung des Dienstes eine SQLite-Datenbank ist, von der niemand etwas wusste, wird das deinen Leistungszielen schaden. Wir müssen auch vorhersehen, wie das Geschäft wachsen wird, z. B. indem wir das Verkehrswachstum anhand von Roadmaps und Geschäftsplänen abschätzen, um uns darauf vorzubereiten. Wenn wir abschätzen, welche Teile des Systems wir in Zukunft erweitern müssen und welche wahrscheinlich nicht, können wir mit unseren Investitionen sparsam umgehen und gleichzeitig sicherstellen, dass das Unternehmen ungehindert durch Softwarebeschränkungen wachsen kann.

Wir sollten uns Gedanken über die Unterstützung der im letzten Kapitel besprochenen Muster machen. Wenn wir für Unveränderlichkeit und Kurzlebigkeit entwerfen, bedeutet das, dass Ingenieure nicht per SSH in das System eindringen können, um etwas zu debuggen oder zu ändern, und dass die Arbeitslast nach Belieben beendet und neu gestartet werden kann. Wie verändert das die Art und Weise, wie wir unsere Software entwickeln? Auch hier sollten wir die Gründe festhalten - dass wir sie so gebaut haben, um Unveränderlichkeit und Vergänglichkeit zu unterstützen -, um Wissen zu sammeln (das wir gleich noch besprechen werden). Auf diese Weise können wir unser Toleranzfenster erweitern und unser Verständnis für die Schwellenwerte des Systems, ab denen ein Fehler auftritt, festigen.

Sicherheitsprüfungen über CI/CD automatisieren

Eine der wertvollsten Praktiken zur Unterstützung der Erweiterung der Sicherheitsgrenzen ist die Automatisierung von Sicherheitsprüfungen durch die Nutzung bestehender Technologien für Resilienz-Anwendungsfälle. Die Praxis der kontinuierlichen Integration und kontinuierlichen Auslieferung⁵ (CI/CD) beschleunigt die Entwicklung und Bereitstellung von Softwarefunktionen, ohne die Zuverlässigkeit oder Qualität zu beeinträchtigen.⁶ Eine CI/CD-Pipeline besteht aus einer Reihe von (idealerweise automatisierten) Aufgaben, die eine neue Softwareversion liefern. Sie umfasst in der Regel die Kompilierung der Anwendung (auch "Build" genannt), das Testen des Codes, die Bereitstellung der Anwendung in einem Repository oder einer Staging-Umgebung und die Auslieferung der Anwendung an die Produktion (auch "Delivery" genannt). Mithilfe von Automatisierung sorgen CI/CD-Pipelines dafür, dass diese Aktivitäten in regelmäßigen Abständen und mit minimalen Eingriffen von Menschen durchgeführt werden. Dadurch unterstützt CI/CD die Eigenschaften Schnelligkeit, Zuverlässigkeit und Wiederholbarkeit, die wir in unseren Systemen brauchen, um sie sicher und widerstandsfähig zu machen.

Wir sollten CI/CD nicht nur als einen Mechanismus schätzen, mit dem wir die mühsamen manuellen Deployments vermeiden können, sondern auch als ein Werkzeug, das die Softwarebereitstellung wiederholbar, vorhersehbar und konsistent macht. Wir können Invarianten erzwingen, die es uns ermöglichen, jedes Mal, wenn wir Software erstellen, bereitstellen und ausliefern, die von uns gewünschten Eigenschaften zu erreichen. Unternehmen, die Software schneller erstellen und ausliefern können, können auch Schwachstellen und Sicherheitsprobleme schneller beheben. Wenn du deine Software ausliefern kannst, wann du willst, dann kannst du auch sicher sein, dass du Sicherheitslücken beheben kannst, wenn du es brauchst. Für manche Unternehmen kann das stündlich sein, für andere täglich. Der Punkt ist, dass dein Unternehmen nach Bedarf liefern und somit auf Sicherheitsereignisse nach Bedarf reagieren kann.

Aus der Perspektive der Belastbarkeit verschlingen manuelle Bereitstellungen (und andere Teile des Bereitstellungsworkflows) nicht nur kostbare Zeit und Mühe, die besser an anderer Stelle eingesetzt werden sollten, sondern koppeln auch den Menschen eng an den Prozess, ohne Hoffnung auf Linearität. Menschen sind fabelhaft in der Lage, sich anzupassen und mit Abwechslung zu reagieren, und absolut hoffnungslos darin, immer wieder das Gleiche zu tun. Der Sicherheits- und Systemadministrator-Status quo von "ClickOps" ist unter diesem Gesichtspunkt ehrlich gesagt gefährlich. Er erhöht die enge Kopplung und die Komplexität, ohne die Effizienzgewinne zu bringen, die wir uns von diesem faustischen Handel erhoffen - was einem Tausch unserer Seele gegen ein Leben voller Langeweile gleichkommt. Die Alternative der automatisierten CI/CD-Pipelines lockert nicht nur die Kopplung und führt zu mehr Linearität, sondern beschleunigt auch die Softwarebereitstellung - eine der Win-Win-Situationen, die wir im letzten Kapitel beschrieben haben. Das Gleiche gilt für viele Formen der Workflow-Automatisierung, wenn das Ergebnis standardisierte, wiederholbare Muster sind.

Ein Beispiel, das weitaus beunruhigender ist als manuelle Einsätze, ist das Beispiel der einheimischen Bevölkerung auf Noepe (Martha's Vineyard), die mit der Gefahr einer engen Kopplung konfrontiert war, als der einzige Fährdienst, der Lebensmittel lieferte, durch die COVID-19-Pandemie unterbrochen wurde.⁸ Wenn wir unsere Pipeline als Lebensmittelpipeline (als Teil der breiteren Lebensmittelversorgungskette) betrachten, erkennen wir die dringende Notwendigkeit von Zuverlässigkeit und Widerstandsfähigkeit. Das gilt auch für unsere Baupipelines (die zum Glück keine Menschenleben gefährden).

Standardisierung von Mustern und Werkzeugen

Ähnlich wie bei der Standardisierung von Rohstoffen, um kritische Funktionen zu unterstützen, ist die Standardisierung von Werkzeugen und Mustern eine Praxis, die dazu beiträgt, die Sicherheitsgrenzen zu erweitern und die Betriebsbedingungen innerhalb dieser Grenzen zu halten. Standardisierung bedeutet, dass die produzierte Arbeit mit den vorgegebenen Richtlinien übereinstimmt. Die Standardisierung trägt dazu bei, dass Menschen weniger Fehler machen können, weil sie sicherstellen, dass eine Aufgabe jedes Mal auf die gleiche Weise ausgeführt wird (wofür Menschen nicht geschaffen sind). Im Zusammenhang mit standardisierten Mustern und Werkzeugen meinen wir damit die Konsistenz dessen, was Entwickler für eine effektive Interaktion mit der laufenden Entwicklung der Software verwenden.

Dies ist ein Bereich, in dem Sicherheitsteams und Plattformentwicklungsteams zusammenarbeiten können, um das gemeinsame Ziel der Standardisierung zu erreichen. In der Tat könnten Plattform-Engineering-Teams diese Arbeit sogar alleine durchführen, wenn es in ihren organisatorischen Kontext passt. Wie wir immer wieder betonen, passt der Mantel des "Verteidigers" zu jedem, unabhängig von seinem üblichen Titel, wenn er die Widerstandsfähigkeit von Systemen unterstützt (wir werden das in Kapitel 7 noch viel ausführlicher diskutieren).

Wenn du kein Plattform-Engineering-Team hast und nur ein paar eifrige Verteidiger und ein schmales Budget zur Verfügung stehen, kannst du trotzdem dazu beitragen, die Muster für die Teams zu standardisieren und die Versuchung zu verringern, ihr eigenes Ding auf eine Art und Weise auszurollen, die die Sicherheit beeinträchtigt. Die einfachste Taktik besteht darin, die Muster für die Teile des Systems mit den größten Sicherheitsauswirkungen, wie Authentifizierung oder Verschlüsselung, zu priorisieren. Wenn es für dein Team schwierig ist, standardisierte Muster, Tools oder Frameworks zu entwickeln, kannst du auch Standardbibliotheken empfehlen und sicherstellen, dass diese Liste als zugängliche Dokumentation verfügbar ist. Auf diese Weise wissen die Teams, dass es eine Liste gut geprüfter Bibliotheken gibt, die sie konsultieren und aus denen sie auswählen können, wenn sie eine bestimmte Funktion implementieren müssen. Alles andere, was sie außerhalb dieser Bibliotheken verwenden möchten, ist vielleicht diskussionswürdig, aber ansonsten können sie ihre Arbeit fortsetzen, ohne die Arbeit des Sicherheits- oder Plattformteams zu stören.

Wie auch immer du es erreichst, der Aufbau einer "gepflasterten Straße" für andere Teams ist eine der wertvollsten Aktivitäten in einem Sicherheitsprogramm. Gepflasterte Straßen sind gut integrierte, unterstützte Lösungen für allgemeine Probleme, die es den Menschen ermöglichen, sich auf ihre eigene Wertschöpfung zu konzentrieren (z. B. die Entwicklung einer differenzierten Geschäftslogik für eine Anwendung).¹⁴ Auch wenn wir im Zusammenhang mit der Produktentwicklung meist an gepflasterte Straßen denken, können diese auch an anderen Stellen im Unternehmen genutzt werden, z. B. im Sicherheitsbereich. Stell dir ein Sicherheitsprogramm vor, das Wege findet, die Arbeit zu beschleunigen! Einem Vertriebsmitarbeiter die Einführung einer neuen SaaS-Anwendung zu erleichtern, die ihm hilft, mehr Geschäfte abzuschließen, ist eine gepflasterte Straße. Wenn du es den Nutzern leicht machst, die Sicherheit ihrer Konten zu überprüfen, anstatt sie in verschachtelten Menüs zu vergraben, ist das auch ein guter Weg. In Kapitel 7 werden wir mehr darüber sprechen, wie man gepflasterte Straßen als Teil eines Resilienzprogramms ermöglicht.

Abhängigkeitsanalyse und Priorisierung von Schwachstellen

Die letzte Praxis, die wir anwenden können, um zu erweitern und unsere Sicherheitsgrenzen zu wahren, ist die Analyse von Abhängigkeiten und insbesondere die umsichtige Priorisierung von Schwachstellen. Die Abhängigkeitsanalyse hilft uns, Fehler in unseren Tools zu erkennen, damit wir sie beheben oder abmildern können - oder sogar bessere Tools in Betracht ziehen. Wir können diese Praxis als eine Absicherung gegen potenzielle Stressfaktoren und Überraschungen betrachten, die es uns ermöglicht, unser Aufwandskapital anderweitig zu investieren. Die Sicherheitsbranche hat es uns jedoch nicht leicht gemacht, zu erkennen, wann eine Schwachstelle wichtig ist. Daher werden wir zunächst eine Heuristik aufzeigen, die uns zeigt, wann wir in die Behebung von Schwachstellen investieren sollten.

Konfiguration als Code

Die erste Praxis, die uns das Geschenk macht, Interaktionen über die Raum-Zeit hinweg linearer zu gestalten (und sie auch zu beobachten), ist Configuration as Code (CaC). Die Automatisierung von Bereitstellungsaktivitäten reduziert den menschlichen Aufwand (der an anderer Stelle eingesetzt werden kann) und unterstützt eine wiederholbare, konsistente Softwarebereitstellung. Zur Softwarebereitstellung gehört auch die Bereitstellung der Infrastruktur, die deinen Anwendungen und Diensten zugrunde liegt. Wie können wir sicherstellen, dass auch die Infrastruktur auf wiederholbare Weise bereitgestellt wird? Und ganz allgemein: Wie können wir sicherstellen, dass unsere Konfigurationen mit unseren mentalen Modellen übereinstimmen?

Die Antwort darauf sind CaC-Praktiken: die Deklaration von Konfigurationen durch Markup anstelle manueller Prozesse. Während die SCE-Bewegung eine Zukunft anstrebt, in der alle Arten von Konfigurationen deklarativ sind, besteht die Praxis heute meist aus Infrastructure as Code (IaC). IaC ist die Möglichkeit, Infrastrukturen über deklarative Spezifikationen zu erstellen und zu verwalten, statt über manuelle Konfigurationsprozesse. Dabei wird derselbe Prozess wie beim Quellcode verwendet, aber anstatt jedes Mal dieselbe Anwendungsbinärdatei zu erzeugen, wird jedes Mal dieselbe Umgebung erzeugt. So entstehen zuverlässigere und berechenbarere Dienste. CaC ist die Idee, diesen Ansatz auf alle wichtigen Konfigurationen wie Ausfallsicherheit, Compliance und Sicherheit auszuweiten. CaC liegt im Grenzbereich zwischen Bereitstellung und Betrieb, sollte aber als Teil dessen betrachtet werden, was Entwicklungsteams liefern.

Wenn du bereits mit IaC vertraut bist, überrascht es dich vielleicht, dass es als Sicherheitstool angepriesen wird. Unternehmen setzen es bereits ein, weil es einen Prüfpfad erzeugt, der die Sicherheit unterstützt, indem er die Wiederholbarkeit von Praktiken verbessert. Werfen wir einen Blick auf die anderen Vorteile von IaC für Sicherheitsprogramme.

Schnellere Reaktion auf Vorfälle

IaC unterstützt die automatische Umstellung der Infrastruktur, wenn es zu Zwischenfällen kommt. Noch besser ist, dass es auch automatisch auf Frühindikatoren für Vorfälle reagieren kann, indem es Signale wie Schwellenwerte verwendet, um Problemen zuvorzukommen (wir werden dies im nächsten Kapitel näher erläutern). Mit der automatischen Wiederherstellung der Infrastruktur können wir kompromittierte Workloads abschalten und neu bereitstellen, sobald ein Angriff entdeckt wird, ohne dass die Endnutzer davon betroffen sind.

Minimierte Umweltabweichung

Die Umgebungsabweichung bezieht sich auf Konfigurationen oder andere Umgebungsattribute, die in einen inkonsistenten Zustand "abdriften", z. B. wenn die Produktion nicht mit dem Staging übereinstimmt. IaC unterstützt die automatische Versionierung der Infrastruktur, um die Umgebungsabweichung zu minimieren, und erleichtert die Rückgängigmachung von Implementierungen, wenn etwas schief läuft. Du kannst auf Flotten von Maschinen so fehlerfrei deployen, wie es für Menschen nur schwer möglich wäre. IaC ermöglicht es dir, Änderungen nahezu atomar vorzunehmen. Es kodiert deine Bereitstellungsprozesse in einer Notation, die von Mensch zu Mensch weitergegeben werden kann, vor allem, wenn sich die Teamzusammensetzung ändert - so wird die Kopplung auf Schicht 8 (d. h. der menschlichen Ebene) gelockert.

Schnelleres Patching und Sicherheitsfixes

IaC unterstützt ein schnelleres Patchen und Verteilen von Sicherheitsänderungen. Wie wir im Abschnitt über CI/CD erörtert haben ( ), ist die eigentliche Lehre aus dem berüchtigten Equifax-Vorfall, dass Patching-Prozesse benutzbar sein müssen, sonst ist Aufschieben die logische Konsequenz. IaC reduziert die Reibungsverluste bei der Veröffentlichung von Patches, Updates oder Korrekturen und dezentralisiert den Prozess, was eine lockerere organisatorische Kopplung fördert. Ganz allgemein gilt: Wenn ein organisatorischer Prozess umständlich oder unbrauchbar ist, wird er umgangen. Das liegt nicht daran, dass Menschen schlecht sind, ganz im Gegenteil: Menschen sind ziemlich gut darin, effiziente Wege zu finden, um ihre Ziele zu erreichen.

Minimierte Fehlkonfigurationen

Zum Zeitpunkt der Erstellung dieses Artikels sind Fehlkonfigurationen laut der National Security Agency (NSA) die häufigste Sicherheitslücke in der Cloud; sie sind für Angreifer leicht auszunutzen und weit verbreitet. IaC hilft dabei, Fehlkonfigurationen von Nutzern und automatisierten Systemen gleichermaßen zu korrigieren. Menschen und Computer sind beide in der Lage, Fehler zu machen - und diese Fehler sind unvermeidlich. IaC kann zum Beispiel die Konfiguration der Zugriffskontrolle automatisieren, die bekanntermaßen verwirrend und leicht zu verwechseln ist.

Abfangen anfälliger Konfigurationen

Um verwundbare Konfigurationen aufzuspüren, ist der Status quo oft ein authentifiziertes Scannen in Produktionsumgebungen, was neue Angriffspfade und Gefahren mit sich bringt. Mit IaC können wir diese Gefahr ausschalten und stattdessen die Codedateien scannen, um verwundbare Konfigurationen zu finden. Mit IaC ist es auch einfacher, Regeln für eine Reihe von Konfigurationsdateien zu schreiben und durchzusetzen, als Regeln für alle APIs deines Cloud-Providers (CSP) zu schreiben und durchzusetzen.

Autonome Durchsetzung von Richtlinien

IaC hilft bei der Automatisierung der Bereitstellung und der Durchsetzung von IAM-Richtlinien wie dem Principle of Least Privilege (PoLP). IaC-Muster vereinfachen die Einhaltung von Industriestandards, wie z.B. Compliance, mit dem Ziel einer "kontinuierlichen Compliance"(Abbildung 4-1).

Abbildung 4-1. Ein Beispiel für einen "kontinuierlichen Compliance-Workflow für IaC" von AWS

Stärkere Änderungskontrolle

IaC führt die Änderungskontrolle über die Quellcodeverwaltung (SCM) ein, die Peer-Reviews zu Konfigurationen und ein aussagekräftiges Änderungsprotokoll ermöglicht. Dies bringt auch erhebliche Vorteile bei der Einhaltung von Vorschriften mit sich.

Aufgrund all dieser Vorteile und der Tatsache, dass alle Entwicklungsteams sie nutzen können, um gemeinsame Ziele zu erreichen, unterstützt IaC ein flexibleres Sicherheitsprogramm und setzt Aufwandskapital für andere Aktivitäten frei. Der Prüfpfad, den es erzeugt, und die Experimentierumgebungen, die es ermöglicht, fördern auch die Neugierde, die wir für unseren Resilienztrank brauchen. IaC stärkt unseren Resilienztrank, indem es die Interaktionen über die Raum-Zeit hinweg linearer macht, aber auch Flexibilität und die Bereitschaft zu Veränderungen fördert - wie ein "Kaufe ein Reagenz und bekomme eins umsonst"-Angebot in der Hexenapotheke.

Fault Injection während der Entwicklung

Eine weitere Methode, die wir in dieser Phase nutzen können, um Systeminteraktionen über die Raum-Zeit hinweg zu untersuchen und zu beobachten, ist die Fault Injection.²¹ Für Sicherheitsteams ergeben sich daraus zwei Möglichkeiten: Sie können sich über Fault Injection informieren, um ihren Wert für das Unternehmen zu begründen (und den Weg für ihre Einführung zu ebnen), und sie können mit Entwicklungsteams zusammenarbeiten, um Fault Injection in bestehende Arbeitsabläufe zu integrieren. Wenn wir nur den "glücklichen Weg" in unserer Software testen, wird unser mentales Modell des Systems eine Illusion sein und wir werden verblüfft sein, wenn unsere Software in der Produktion nicht mehr funktioniert. Um widerstandsfähige Softwaresysteme zu entwickeln, müssen wir auch die "unglücklichen Pfade" berücksichtigen und erforschen.

Wenn du eine neue Komponente in das System einfügst, überlege dir, welche Störungsereignisse möglich sind und schreibe Tests, um sie zu erfassen. Diese Tests werden als Fault-Injection-Tests bezeichnet: Sie belasten das System, indem sie absichtlich einen Fehler einführen, z. B. eine Spannungsspitze oder einen übergroßen Eingang. Da die meisten Softwaresysteme, die wir bauen, in etwa wie eine Webanwendung aussehen, die mit einer Datenbank verbunden ist, kann ein früher Fault-Injection-Test oft die Form haben: "Trenne die Verbindung zur Datenbank und verbinde sie wieder, um sicherzustellen, dass deine Datenbankabstraktionsschicht die Verbindung wiederherstellt." Im Gegensatz zu Chaos-Experimenten, bei denen ungünstige Szenarien simuliert werden, führen wir bei der Fault Injection eine absichtlich fehlerhafte Eingabe ein, um zu sehen, was in einer bestimmten Komponente passiert.

Viele Teams räumen der Fault Injection (oder Fehlertoleranz) erst dann Priorität ein, wenn es einen Zwischenfall oder einen Beinaheunfall gibt. Angesichts begrenzter Ressourcen kann man sich fragen, ob sich Fault Injection lohnt - aber das setzt voraus, dass du sie überall durchführen musst, um sie einzuführen. Wenn du mit der Fault Injection für deine kritischen Funktionen beginnst (wie die, die du in der Tier-1-Bewertung in Kapitel 2 definiert hast), kannst du deine Anstrengungen dort investieren, wo sie wirklich wichtig sind. Nehmen wir an, dein Unternehmen bietet eine Auktionsplattform für physische Geräte an, bei der der Datenverkehr während einer Auktion kontinuierlich und ohne Ausfallzeiten abgewickelt werden muss, aber es ist in Ordnung, wenn die Benutzeranalyse verzögert wird. Vielleicht investierst du mehr in die Fehlersuche und andere Tests, um das Design des Auktionssystems zu verbessern, verlässt dich aber auf die Überwachung und Beobachtbarkeit der übrigen Systeme, um die Wiederherstellung nach Fehlern zu vereinfachen.

Tests zur Fehlerinjektion sollten geschrieben werden, solange das Problem noch aktuell ist - also während der Entwicklung. Wenn man die Fehlerinjektion für kritische Funktionen zur Standardpraxis macht, hilft das den Entwicklern, ihre Abhängigkeiten besser zu verstehen, bevor sie sie ausliefern, und kann sie davon abhalten, Komponenten einzuführen, die die Inbetriebnahme des Systems erschweren. Dieses Prinzip gilt übrigens für die meisten Tests, auf die wir als Nächstes eingehen werden.

Integrationstests, Lasttests und Testtheater

Kommen wir nun zu einer wichtigen und umstrittenen Praxis die die Beobachtung von Systeminteraktionen über die Raum-Zeit hinweg unterstützen kann: das Testen. Die Softwareentwicklung als Disziplin muss sich mit dem Thema Testen auseinandersetzen (ganz zu schweigen vom miserablen Status quo der Sicherheitstests). Testen wir auf Belastbarkeit oder Korrektheit im Laufe der Zeit, oder nur, um zu sagen, dass wir getestet haben? Einige Formen des Testens können eher als Sicherheitsvorkehrungen dienen, wenn sie vollständig automatisiert sind und Zusammenführungen oder Deployments blockieren, ohne dass ein menschliches Eingreifen erforderlich ist. Oder wir können einen Haufen Unit-Tests schreiben, die Codeabdeckung als fadenscheinigen Beweis für eine gut gemachte Arbeit verwenden und behaupten, "wir haben es getestet", wenn etwas schief geht. Alternativ können wir unser Kapital in konstruktivere Wege investieren, um die Resilienz-Eigenschaften des Systems durch Integrations- und Lasttests zu beobachten - oder sogar Resilienz-Stresstests (Chaos-Experimente) als Teil der Experimentier-Ebene durchzuführen, die wir in Kapitel 2 besprochen haben.

Die traditionelle dreieckige Testhierarchie eignet sich nicht für die Widerstandsfähigkeit. Das Dreieck (und seine geometrischen Brüder) sehen zwar nett aus und sind intuitiv, aber sie sind eher ästhetisch als realistisch. Welche Tests du für sinnvoll hältst, hängt davon ab, was in deinem lokalen Kontext am wichtigsten ist - deine kritischen Funktionen und deine Ziele und Einschränkungen, die deine Betriebsgrenzen definieren.

Wir müssen über das Testen im Sinne des Aufwandsportfolios nachdenken. Die ideale Mischung aus Testarten und -abdeckung, in die wir investieren, kann je nach Projekt und Teil des Systems unterschiedlich sein. Einem Softwareentwickler ist es vielleicht egal, ob sein Code zum Parsen der Konfiguration langsam oder fehlerhaft ist, solange die Anwendung zuverlässig mit der richtigen Konfiguration startet. Wenn es jedoch wichtig ist, die eingehenden Benutzerdaten zu validieren, könnte Fuzz-Testing ein Kandidat für diese Codepfade sein.

Von Ingenieuren geschriebene Tests sind ein Artefakt ihrer mentalen Modelle zu einem bestimmten Zeitpunkt in der Raum-Zeit. Da sich die Realität weiterentwickelt - einschließlich der Systeme und Arbeitslasten in ihr - werden Tests veraltet. Die Erkenntnisse, die wir aus Chaos-Experimenten, realen Vorfällen und sogar aus der Beobachtung gesunder Systeme gewinnen, müssen wir in unsere Testsuiten einfließen lassen, um sicherzustellen, dass sie die Produktionsrealität widerspiegeln. Wir müssen Tests priorisieren, die uns helfen, unsere mentalen Modelle zu verfeinern, und die sich anpassen können, wenn sich der Systemkontext weiterentwickelt. Im Google SRE-Handbuch heißt es: "Testen ist der Mechanismus, mit dem du die Gleichwertigkeit bestimmter Bereiche nachweisen kannst, wenn Änderungen auftreten. Jeder Test, der sowohl vor als auch nach einer Änderung bestanden wird, verringert die Unsicherheit, die bei der Analyse berücksichtigt werden muss. Gründliches Testen hilft uns, die zukünftige Zuverlässigkeit eines bestimmten Standorts so detailliert vorherzusagen, dass sie praktisch nutzbar ist."

Die Geschichte hat dem Testen in der Softwareentwicklung einen Strich durch die Rechnung gemacht: Früher gab es in den Unternehmen spezielle Testteams, aber heute sind sie nur noch selten anzutreffen. Kulturell bedingt haben Softwareentwickler oft das Gefühl, dass Tests "das Problem von jemand anderem" sind. Das Problem, das hinter dieser Ausrede steckt, ist, dass Tests als zu kompliziert empfunden werden, insbesondere Integrationstests. Aus diesem Grund sind befestigte Straßen für Tests aller Art, nicht nur für Sicherheitstests, eine der wertvollsten Lösungen, die Sicherheits- und Plattformentwicklungsteams entwickeln können. Um den Einwänden gegen die Leistung entgegenzuwirken, könnten wir den Entwicklern sogar erlauben, den Grad des Overheads anzugeben, mit dem sie einverstanden sind.²²

In diesem Abschnitt erfahren wir, warum die wichtigste Testkategorie entgegen der landläufigen Meinung wohl der Integrationstest (oder "breiter Integrationstest") ist. Er prüft, ob das System tatsächlich das tut, was es im Grunde genommen tun soll. Wir werden über Lasttests sprechen und darüber, wie wir den Datenverkehr aufzeichnen können, um zu beobachten, wie sich das System über die Raum-Zeit hinweg verhält. Entgegen einer weit verbreiteten Volksweisheit werden wir erörtern, warum Unit-Tests nicht als notwendige Grundlage angesehen werden sollten, bevor ein Unternehmen andere Formen von Tests durchführt. Manche Unternehmen verzichten aus den in diesem Abschnitt erläuterten Gründen ganz auf Unit-Tests. Abschließend werden wir uns mit Fuzz-Tests beschäftigen, die sich erst dann lohnen, wenn wir die "Grundlagen" geschaffen haben.

Vorsicht vor verfrühten und unsachgemäßen Abstraktionen

Die letzte Praxis, die wir in Betracht ziehen können im Zusammenhang mit raum-zeitlichen Systeminteraktionen ist die Kunst der Abstraktionen. Abstraktionen sind ein grausames Beispiel für das Aufwand-Investitions-Portfolio, denn Abstraktionen sind nur dann praktisch, wenn du sie nicht pflegen musst. Betrachte eine Abstraktion, die kein Computer ist: der Lebensmittelladen. Der Lebensmittelladen stellt sicher, dass das ganze Jahr über Kochbananen verfügbar sind, obwohl das Angebot je nach Jahreszeit, Regenmenge usw. schwankt. Die komplexen Interaktionen zwischen dem Laden und den Lieferanten, zwischen den Lieferanten und den Landwirten, zwischen den Landwirten und dem Kochbananenbaum, zwischen dem Kochbananenbaum und seiner Umwelt - all das wird für den Verbraucher abstrahiert. Für den Verbraucher ist es ganz einfach, in den Laden zu gehen, sich Kochbananen mit dem gewünschten Reifegrad auszusuchen und sie an der Kasse zu kaufen. Für den Laden ist es ein mühsamer Prozess, mit mehreren Bananenlieferanten in Kontakt zu bleiben - denn eine enge Bindung an nur einen Lieferanten würde zu Brüchigkeit führen (was ist, wenn der Lieferant ein schlechtes Jahr hat und es jetzt keine Bananen für deine Kunden gibt?) - sowie Bananen zu puffern und in die Warteschlange zu stellen, um Unwägbarkeiten im Angebot auszugleichen (und dabei so effizient zu sein, dass ein Gewinn erzielt wird).

Wenn wir Abstraktionen schaffen, müssen wir uns daran erinnern, dass jemand sie aufrechterhalten muss. Der Aufwand, den wir für den Verbraucher betreiben, ist mit hohen Kosten verbunden, und jemand muss diese Illusionen entwickeln und aufrechterhalten. Für alles, was keinen differenzierten organisatorischen Wert darstellt, lohnt es sich, die Illusionsbildung an Menschen auszulagern, deren Wert auf der Abstraktion dieser Komplexität beruht. Ein Lebensmittelladen formt nicht sein eigenes Plastik, um Einkaufskörbe herzustellen. Ein Transportunternehmen mit einer E-Commerce-Website hat auch nicht die Aufgabe, abstrakte Infrastrukturen zu erstellen und zu warten, wie z. B. den Umgang mit gegenseitigem Ausschluss und Deadlocks.

Jedes Mal, wenn wir eine Abstraktion schaffen, müssen wir uns daran erinnern, dass wir eine Illusion schaffen. Das ist die Gefahr bei der Schaffung von Abstraktionen für unsere eigene Arbeit: Sie kann zu einer Selbstverblödung führen. Eine Abstraktion ist letztlich eine enge Kopplung, um den Overhead zu minimieren. Sie verbirgt die zugrundeliegende Komplexität - aber sie beseitigt sie nicht, es sei denn, wir konsumieren nur, statt sie zu pflegen. Wenn wir also die Schöpfer und Verwalter der Abstraktion sind, können wir uns an der Idee der losen Kopplung stoßen, weil sie von uns verlangt, die Wahrheit zu berücksichtigen. Sie verbirgt nicht die komplexen Interaktionen über die Raum-Zeit hinweg, was sich beängstigend anfühlen kann. Wir dachten, wir hätten das System verstanden, und jetzt sehen wir uns all diese "verwirrenden" Wechselwirkungen an! Die Abstraktion gab uns die Illusion, das System zu verstehen, aber nicht die Wahrheit.

Eine Abstraktion verbirgt zwangsläufig einige Details, und diese Details können für die Widerstandsfähigkeit deines Systems wichtig sein. Wenn deine Softwaresysteme ein verworrenes Nest von Abstraktionen sind und etwas schief läuft, wie kannst du es dann debuggen? Du opferst einen RAM-Stick auf dem Altar der Götter, suchst dir einen anderen Beruf oder weinst eine Weile still vor deinem Computerbildschirm, bevor du Koffein schluckst und das virtuelle Äquivalent dazu machst, deinen Kopf gegen eine Mauer zu schlagen, während du die Abstraktionen auseinander nimmst. Die Abstraktionen versuchen, verwirrende Wechselwirkungen und Auswirkungen von Ereignissen der Ordnung n zu verbergen, aber eine enge Kopplung kann die interaktive Komplexität nicht auslöschen. Kleinere Fehler in den Komponenten führen zu Ausfällen auf Systemebene, und die von der engen Kopplung geforderte unmittelbare Reaktion auf Zwischenfälle ist unmöglich, weil die benötigten Informationen unter dem dicken, glänzenden Glanz der Abstraktion undurchsichtig sind.

Opportunitätskosten-Rahmen den Kompromiss der Abstraktion gut. Welche Vorteile geben wir auf, wenn wir eine Abstraktion wählen? Wie steht das im Vergleich zu der Vereinfachung und Lesbarkeit, die wir von der Implementierung bis zum Scheitern des Systems erhalten? Was wir anstreben, ist, dass der sozioökonomische Teil des Systems dem Verständnis so nahe wie möglich kommt. Wir werden bald über die entscheidende Bedeutung des Wissensaustauschs sprechen, wenn wir untersuchen, wie wir die vierte Zutat des Zaubertranks unterstützen können: Feedbackschleifen und Lernkultur. Genauso wenig wie wir einen einzelnen Dienst wollen, von dem unser gesamtes System abhängt, wollen wir einen einzelnen Menschen, von dem unser gesamtes System abhängt. Unsere Stärke liegt in der Zusammenarbeit und der Kommunikation. Unterschiedliche Perspektiven sind nicht nur hilfreich, sondern ausdrücklich notwendig, um das System so zu verstehen, wie es sich in der Realität verhält, und nicht nur in den statischen Modellen in unseren Köpfen oder in einem Architekturdiagramm oder in Codezeilen.

Test Automatisierung

Unsere erste Gelegenheit, Feedbackschleifen und Lernen in dieser Phase zu fördern, ist die Praxis der Testautomatisierung. Bei Tests müssen wir das Warum genauso deutlich machen wie bei anderen Dingen. Wenn wir einen Test schreiben, können wir dann sagen, warum wir die einzelnen Punkte überprüfen? Wenn wir nicht wissen, warum wir etwas überprüfen, werden wir verwirrt sein, wenn unsere Tests fehlschlagen, nachdem wir etwas geändert oder neuen Code hinzugefügt haben. Haben wir etwas kaputt gemacht? Oder sind die Tests einfach veraltet und nicht mehr in der Lage, den aktuellen Stand der Dinge zu berücksichtigen?

Wenn die Gründe für Tests - oder für irgendetwas anderes - nicht dokumentiert und nachvollziehbar sind, gehen die Menschen eher davon aus, dass sie unnötig sind, dass man sie einfach herausreißen und ersetzen kann. Diese voreingenommene Argumentation ist als Chestertons Zaunfehlschluss bekannt, der erstmals in G.K. Chestertons Buch The Thing beschrieben wurde:

Wenn es darum geht, Dinge zu reformieren, anstatt sie zu verformen, gibt es ein klares und einfaches Prinzip, das wahrscheinlich als Paradox bezeichnet werden kann. In einem solchen Fall gibt es eine bestimmte Einrichtung oder ein Gesetz, sagen wir der Einfachheit halber einen Zaun oder ein Tor, das über eine Straße errichtet wurde. Der modernere Reformer geht fröhlich darauf zu und sagt: "Ich weiß nicht, wozu das gut sein soll; wir sollten es abschaffen. Der intelligentere Reformer tut gut daran, darauf zu antworten: "Wenn du keinen Nutzen darin siehst, werde ich dich es bestimmt nicht wegmachen lassen. Geh weg und denk nach. Wenn du dann zurückkommst und mir sagst, dass du einen Nutzen darin siehst, erlaube ich dir vielleicht, es zu zerstören."

Wie können wir schnellere Feedbackschleifen aus unseren Tests fördern? Durch Testautomatisierung. Die Automatisierung hilft uns, Wiederholbarkeit zu erreichen und standardisiert eine Abfolge von Aufgaben (wodurch wir sowohl die Kopplung als auch die Linearität verbessern). Wir wollen die Aufgaben automatisieren, die nicht von menschlicher Kreativität und Anpassung profitieren, wie z. B. das Testen, was auch dazu führt, dass der Code leicht zu ändern ist. Wenn du deine Tests nicht automatisierst, wird jede Iteration des Lernzyklus ins Stocken geraten und viel teurer werden. Testautomatisierung beschleunigt unsere Feedbackschleifen und verringert die Reibung beim Lernen aus unseren Tests.

Leider schreckt die Testautomatisierung manchmal Cybersecurity-Leute ab, die schwerfällige Änderungsprozesse um der "Risikoabdeckung" willen loben (was auch immer das wirklich bedeutet). Das traditionelle Cybersicherheitsteam sollte keine Software testen, da es bereits in den Designprozess eingebunden sein sollte (wie im letzten Kapitel beschrieben) und den Softwareentwicklern bei der Umsetzung dieser Designs vertrauen sollte (wir wollen kein Panoptikum). Wenn wir uns in die Testautomatisierung einmischen und das Testen eng an eine externe Instanz wie ein separates, abgeschottetes Cybersecurity-Team koppeln, gefährden wir die Widerstandsfähigkeit, indem wir den sozialen Teil der Lernfähigkeit des Systems reduzieren.

Aber genug davon, was die Cybersicherheitsbranche derzeit alles falsch macht. Wie machen wir die Testautomatisierung richtig? Sicherheitstestsuiten können automatisch ausgelöst werden, sobald ein PR eingereicht wird, und arbeiten mit Codeüberprüfungen durch andere Entwickler zusammen , um die Effizienz zu steigern (und die Götter des Produktionsdrucks zu befriedigen). Natürlich sind einige herkömmliche Sicherheitstools nicht für automatisierte Workflows geeignet. Wenn ein statisches Analysetool 10 Minuten - oder, wie leider immer noch üblich, ein paar Stunden - für seinen Scan braucht, verstopft es unweigerlich die Pipeline. Im Accelerate State of DevOps Report 2019 wird festgestellt, dass nur 31% der DevOps-Elite automatisierte Sicherheitstests einsetzen, während es bei den Low-Performern nur 15% sind. Sicherheitstestsuiten werden traditionell vom Sicherheitsteam kontrolliert, aber wie wir im Laufe des Buches immer wieder betonen werden, schadet diese Zentralisierung nur unserer Fähigkeit, die Resilienz aufrechtzuerhalten - wie Abbildung 4-2 zeigt.

Abbildung 4-2. Einsatz verschiedener Formen der Automatisierung bei DevOps-Akteuren (Quelle: Accelerate State of DevOps 2019 report)

Wir können die statische Analyse als Beispiel dafür nehmen, wie die Testautomatisierung die Qualität verbessern kann. Abgesehen von den Kosten für die Erstellung des Tests kann die statische Analyse als kostengünstig angesehen werden, wenn sie sich über die Zeit amortisiert, da sie automatisch Fehler in deinem Code aufdeckt. Allerdings gibt es in den Teams der Softwareentwicklung oft eine große Diskrepanz zwischen den Metadaten. Wenn du dein Backlog im Griff hast und dein Design regelmäßig verbesserst, kannst du dir den Luxus leisten, dich um mögliche Sicherheitsmängel zu kümmern und etwas dagegen zu unternehmen. Wenn du unter einem Haufen C-Code erstickst und davon abgehalten wirst, deinen Code zu verbessern, kommen noch mehr Sicherheitsprobleme hinzu, die dich noch mehr verletzen. Das Sicherheitsnetz für Softwareentwicklungsteams, die mit schwer zu wartendem Legacy-Code zu kämpfen haben, besteht aus Tools, die ihnen bei der iterativen Modernisierung und Automatisierung von Prozessen helfen können. Egal, ob es sich um eine Selbstbedienung handelt, ob es von einem Plattform-Engineering-Team bereitgestellt wird oder ob es von einem Sicherheitsteam bereitgestellt wird, das einem Plattform-Engineering-Modell folgt, die Testautomatisierung - neben anderen Automatisierungen, die wir in diesem Kapitel besprochen haben - kann den Teams helfen, sich Stück für Stück aus dem Sumpf zu ziehen.

Aus diesem Grund müssen Sicherheitsprogramme bei der Auswahl von Werkzeugen auch die Perspektive der Softwareentwicklung einbeziehen. Möglicherweise gibt es bereits statische Analysewerkzeuge - oder allgemeinere "Code-Qualitäts"-Werkzeuge -, die CI/CD-freundlich sind, implementiert wurden oder in Erwägung gezogen werden und ausreichen könnten, um auch Fehler mit Sicherheitsauswirkungen zu finden. Die Integration von statischen Analysewerkzeugen in IDEs kann beispielsweise die Zeit reduzieren, die Entwickler/innen mit der Behebung von Schwachstellen verbringen, und die Häufigkeit erhöhen, mit der sie die Sicherheitsanalyse ihres Codes durchführen. Entwickler/innen sind mit solchen Tools bereits vertraut und verlassen sich sogar auf sie, um ihre Arbeitsabläufe zu verbessern. Du hörst vielleicht, wie ein Entwickler von TypeScript schwärmt, einer Sprache, die nur dazu da ist, eine weniger sichere Sprache um eine Typüberprüfung zu erweitern, weil sie ihn produktiver macht. Wenn wir Softwareentwicklungsteams dabei helfen können, produktiver zu sein und gleichzeitig durch schnellere Feedbackschleifen mehr zu lernen, sind wir es wert, dass wir uns selbst ein Lob aussprechen.

Das Warum und Wann dokumentieren

Eine weitere Möglichkeit zur Förderung von Feedbackschleifen und Lernen bei der Entwicklung und Bereitstellung von Systemen ist die Praxis der Dokumentation - insbesondere die Dokumentation des Warum und Wann. Wie wir in Kapitel 1 besprochen haben, ist Resilienz auf das Gedächtnis angewiesen. Wir werden beim Lernen scheitern, wenn wir das relevante Wissen nicht abrufen können. Dieses Wissen muss zugänglich bleiben, damit so viele Menschen wie möglich im sozialen Teil des Systems es in ihren Feedbackschleifen nutzen können. Daher müssen wir die Dokumentation zu einer zentralen Praxis erheben und ihr eine höhere Priorität einräumen als anderen "sexy" Aktivitäten. In diesem Abschnitt wird beschrieben, wie man Dokumentationen entwickelt, um das Lernen zu erleichtern.

Wenn wir Wissen teilen, können wir nicht in statischen Komponenten denken. Erinnere dich: Resilienz ist ein Verb. Wir müssen unser Wissen über das System teilen - nicht nur, wie die Komponenten zusammenwirken, sondern auch warum und wann sie zusammenwirken und warum sie überhaupt existieren. Wir müssen es so behandeln, als würden wir ein Ökosystem beschreiben. Wenn du einen Strand dokumentieren würdest, könntest du beschreiben, was alles dazugehört und wie es funktioniert. Es gibt Sand. Es gibt Wellen, die sich rein und raus bewegen. Es gibt Muscheln. Aber das sagt uns nicht viel. Viel aussagekräftiger ist, wie und wann diese Komponenten zusammenwirken. Wenn um 13:37 Uhr Ebbe ist, ziehen sich Krabben und Seesterne in die Gezeitentümpel zurück; die Gezeitentümpel werden freigelegt, ebenso wie die Austern; Krabben wuseln am Strand entlang, um nach Nahrung zu suchen - wie die leckeren Austern und die Tiere in den Gezeitentümpeln; auch Küstenvögel picken an der Küste nach Leckerbissen. Wenn sechs Stunden später die Flut kommt, öffnen Austern und Jakobsmuscheln ihre Schalen, um zu fressen; Krabben und Seesterne werden ins Meer gespült; Krabben graben sich ein; Küstenvögel schlafen; weibliche Meeresschildkröten kriechen an die Küste, um ihre Eier zu legen - und die Flut wird die Babyschildkröten schließlich ins Meer ziehen.

Unsere Softwaresysteme sind komplex und bestehen aus interagierenden Komponenten. Es sind diese Wechselwirkungen, die Systeme "verwirrend" machen, und deshalb ist es unerlässlich, sie als Konstrukteure zu erfassen. Wir müssen unsere Systeme als einen Lebensraum betrachten, nicht als eine unzusammenhängende Sammlung von Konzepten. Wenn wir einem System zum ersten Mal begegnen, fragen wir uns in der Regel: "Warum wurde es so gebaut?" oder vielleicht noch grundsätzlicher: "Warum gibt es das?" Doch das ist es, was wir bei der Entwicklung und Bereitstellung von Software am wenigsten zu dokumentieren pflegen.

Wir haben das Projekt Oxidation von Mozilla bereits im Zusammenhang mit der Migration zu einer speichersicheren Sprache erwähnt, aber es ist auch ein lobenswertes Beispiel für die Dokumentation des Warum. Für die meisten Komponenten, die sie in Rust ausgeliefert haben, beantworten sie die Frage "Warum Rust?". Bei der Integration des Lokalisierungssystems fluent-rs haben sie zum Beispiel ausdrücklich dokumentiert, dass sie es in Rust kompiliert haben, weil: "Der Leistungs- und Speichergewinn gegenüber der vorherigen JS-Implementierung ist erheblich. Es ermöglicht ein Zero-Copy-Parsing und ein speicherschonendes Auflösen von Lokalisierungsstrings. Außerdem ebnet es den Weg für die Migration der restlichen Fluent-APIs weg von JS, das für Fission benötigt wird."

Eine solch detaillierte Antwort, die den Zweck und sogar das mentale Modell hinter der Entscheidung angibt, vermeidet in Zukunft geschickt Chestertons Zaunproblem. Aber auch weniger detaillierte Antworten können eine Lernkultur, Feedbackschleifen und vor allem eine Prioritätensetzung unterstützen. Eine der vorgeschlagenen Komponenten, die in Rust "oxidiert" werden sollen - das Ersetzen von DOM-Serialisierern (XML, HTML für Speichern unter..., reiner Text) - besagt zum Beispiel ganz einfach: "Warum Rust? Wir brauchen sowieso eine Neufassung. Geringe Sicherheitslücken in der Vergangenheit." Die Umstellung auf eine speichersichere Sprache kann eine Gelegenheit sein, langjährige Probleme anzugehen, die die Zuverlässigkeit, Widerstandsfähigkeit oder auch nur die Wartbarkeit behindern. Wir sollten immer nach Möglichkeiten suchen, unsere Investitionen zu maximieren, wo wir können.

Verteiltes Tracing und Logging

Die dritte Praxis, die wir besprechen und die in dieser Phase Feedbackschleifen und Lernprozesse fördern kann, ist das verteilte Tracing und Logging. Es ist schwierig, nur die kleinen Brotkrümel zu betrachten, die das System verteilt und die nicht zu einer Geschichte zusammengefügt werden (und Menschen denken sehr stark in Geschichten). Egal, ob du einen Vorfall bearbeitest oder dein mentales Modell verfeinerst, um Verbesserungen vorzunehmen, die Beobachtung der Interaktionen über einen längeren Zeitraum ist unerlässlich. Du kannst keine Feedbackschleife bilden, ohne zu sehen, was vor sich geht; das Feedback ist ein zentraler Bestandteil der Schleife.

Wir sollten dieses Feedback einplanen und durch Rückverfolgung und Protokollierung in unsere Dienste integrieren. Beides ist nichts, was man nachträglich einbauen oder automatisch auf alle Dienste anwenden kann, die man betreibt. Du investierst in der Erstellungs- und Lieferphase und erhältst dann in der Beobachtungs- und Betriebsphase eine Rendite auf diese Investition. Du kannst dich aber auch dafür entscheiden, in dieser Phase keinen Aufwand zu betreiben, und dir die Haare raufen, wenn du versuchst, dein kompliziertes Microservice-System zu debuggen, wenn es fehlschlägt, indem du rätst, welche Log-Meldungen mit welchen übereinstimmen (was bei Diensten mit einem vernünftigen Volumen unglaublich mühsam ist). Wir können Tracing und Logging als eine Absicherung gegen einen schwerwiegenden Abschwung betrachten, wenn unsere Software in der Produktion läuft - ein Feedback, das uns hilft, eine produktive Schleife aufrechtzuerhalten, anstatt eine Abwärtsspirale in Gang zu setzen. In diesem Abschnitt werden wir untersuchen, wie wir in dieser Phase über beide Aspekte nachdenken können.

Verfeinerung der menschlichen Interaktion mit den Build- und Delivery-Praktiken

Schließlich können wir die Art und Weise, wie Menschen mit unseren Entwicklungspraktiken interagieren, verfeinern - eine weitere Möglichkeit, Feedbackschleifen zu stärken und eine Lernkultur zu fördern. Um Softwaresysteme zu entwickeln und zu liefern, die widerstandsfähig sind, müssen unsere Praktiken in dieser Phase nachhaltig sein. Wir müssen ständig lernen, wie die Menschen in unseren soziotechnischen Systemen mit den Praktiken, Mustern und Werkzeugen interagieren, die es ihnen ermöglichen, Systeme zu entwickeln und bereitzustellen. Wir müssen offen dafür sein, neue IDEs, Software-Entwurfsmuster, CLI-Tools, Automatisierung, Pairing, Problemmanagementpraktiken und all die anderen Dinge auszuprobieren, die in dieser Phase eine Rolle spielen.

Zu diesem Lernmodus gehört auch, offen dafür zu sein, dass der Status quo nicht funktioniert - und auf das Feedback zu hören, dass die Dinge besser sein könnten. Wir müssen bereit sein, unsere alten Praktiken, Muster und Werkzeuge zu verwerfen, wenn sie uns nicht mehr helfen oder den Aufbau eines widerstandsfähigen oder zuverlässigen Systems erschweren. Das Erinnern an den lokalen Kontext hilft uns auch dabei, die Arbeitsweise in dieser Phase zu verfeinern; manche Projekte erfordern andere Vorgehensweisen und wir müssen uns entscheiden, sie entsprechend anzupassen.

Zusammenfassend lässt sich sagen, dass wir vier Möglichkeiten haben, um Feedbackschleifen zu fördern und das Lernen - die vierte Zutat unseres Resilienzrezepts - zu unterstützen: Testautomatisierung, Dokumentation des Warum und Wann, verteiltes Tracing und Logging sowie die Verfeinerung der menschlichen Interaktion mit den Entwicklungsprozessen. Wie wir diese Interaktionen verändern - und wie wir alles in dieser Phase verändern - bringt uns zur letzten Zutat unseres Resilienz-Tranks: Flexibilität und Bereitschaft zur Veränderung.

Iteration zur Nachahmung der Evolution

Die erste Praxis, die wir anwenden können, um die Flexibilität zu fördern und die Bereitschaft zur Veränderung zu erhalten, ist die Iteration. Eine erste Annäherung an das, was "guten Code" ausmacht, ist Code, der leicht zu ersetzen ist. Er hilft uns, die Flexibilität und Veränderungsbereitschaft zu fördern, die für die Widerstandsfähigkeit von Systemen unerlässlich sind, indem er uns ermöglicht, den Code zu ändern und zu überarbeiten, wenn wir Feedback erhalten und sich die Bedingungen ändern. Code, der leicht zu ersetzen ist, lässt sich leicht patchen. Sicherheitsteams raten Softwareentwicklern oft, Sicherheitsprobleme im Code auf einer "grundlegenderen" Ebene zu beheben, anstatt sie mit einem Pflaster zu überdecken.

Ein iterativer Ansatz bei der Entwicklung und Bereitstellung von Systemen ermöglicht die Entwicklungsfähigkeit, die wir brauchen, um die Widerstandsfähigkeit von Systemen zu unterstützen. Minimale lebensfähige Produkte (MVPs) und das Ausprobieren von Funktionen sind in dieser Phase unsere besten Freunde. Sie verkürzen nicht nur die Zeit bis zur Markteinführung des Codes - so erreichen wir die Endnutzer schneller -, sondern ermöglichen es uns auch, schneller festzustellen, was funktioniert und was nicht, um der Falle der Starrheit zu entgehen (die die Widerstandsfähigkeit untergräbt). Auf diese Weise können wir nicht nur eine lockerere Kopplung erreichen, sondern auch die einfachen Substitutionen, die für linearere Systeme charakteristisch sind. Wir müssen das Experimentieren fördern, indem wir es einfach machen, schnell zu innovieren, aber das, was nicht funktioniert, ohne Scham oder Schuldzuweisung zu verwerfen.

Wir müssen unsere MVPs und Experimente auch zu Ende bringen. Wenn du zum Beispiel ein neues Authentifizierungsmuster entwickelst, das besser ist als der Status quo, solltest du es zu Ende bringen - vom MVP zum echten Produkt. Es ist leicht, den Dampf zu verlieren, nachdem ein Prototyp in einem Teil des Systems funktioniert hat, aber wir müssen dranbleiben, wenn wir widerstandsfähig sein wollen. Wenn wir es nicht durchziehen oder in die Pflege investieren, schrumpft das System und wird brüchig. Diese Konsequenz ist auch dann notwendig, wenn unsere Experimente nicht so ausfallen, wie wir gehofft haben. Wenn sich herausstellt, dass das Experiment nicht durchführbar ist, müssen wir hinter uns aufräumen und das Experiment aus der Codebasis entfernen. Die Überreste fehlgeschlagener Experimente werden die Codebasis verstopfen und jeden verwirren, der über sie stolpert. (Das verblüffende Scheitern von Knight Capital im Jahr 2014 ist wohl ein Beispiel dafür).

Leider schlägt der schrittweise Ansatz beim Aufbau und bei der Umsetzung oft aus sozialen Gründen fehl. Wir Menschen lieben das Neue. Wir lieben es oft, einen großen Erfolg auf einmal zu erzielen , anstatt eine Reihe kleinerer Erfolge im Laufe der Zeit. Natürlich bedeutet diese Vorliebe für Neues und auffällige Neuerungen, dass wir den inkrementellen Fortschritt und damit unsere Fähigkeit, widerstandsfähig zu bleiben, opfern. Es ist viel schwieriger, eine Software weiterzuentwickeln, die nur einmal im Quartal ein "Big Bang"-Releases bekommt, als eine Software, die jeden Tag oder jede Woche auf Abruf bereitgestellt wird. Wenn eine neue Sicherheitslücke auftritt, kann mit dem inkrementellen Ansatz schnell ein Patch veröffentlicht werden, während das Modell mit großen, aufsehenerregenden Releases sowohl aus technischen als auch aus sozialen Gründen langsamer sein wird.

Wie können wir die Dinge im iterativen Modell frisch halten? Chaos-Experimente, egal ob im Bereich der Sicherheit oder der Leistung, können das Adrenalin in die Höhe treiben und eine neue Perspektive bieten, die Ingenieure dazu bringt, ihren Code und ihre Software durch eine andere Brille zu sehen. Wir könnten zum Beispiel die Architektur und den Code eines Systems analysieren, um seine Leistung zu verstehen, aber ein effektiverer Ansatz ist das Anbringen eines Profilers, während wir die Last simulieren; das Werkzeug wird uns genau sagen, wo das System seine Zeit verbringt. Wir können auch Anreize schaffen, damit die Leute mitmachen, neugierig sind und sich den Code zu eigen machen, wie zum Beispiel: "Dieses Modul gehört dir persönlich."

Ein iterativer Ansatz steht auch im Einklang mit der Modularität im Design, die wir als Nächstes behandeln werden.

Modularität: Das uralte Werkzeug der Menschheit für Resilienz

Die zweite Möglichkeit, die uns zur Verfügung steht , um Flexibilität zu kultivieren und Anpassungsfähigkeit zu erhalten, ist Modularität. Laut dem U.S. National Park Service (NPS) ermöglicht die Modularität in komplexen Systemen, "dass strukturell oder funktional unterschiedliche Teile während einer Stressphase ihre Autonomie behalten und sich nach einem Verlust leichter erholen können". Es handelt sich um eine Systemeigenschaft, die das Ausmaß widerspiegelt, in dem Systemkomponenten - die normalerweise in einem Netzwerk dicht miteinander verbunden sind³⁷-in getrennte Cluster (manchmal auch als "Gemeinschaften" bezeichnet) aufgeteilt werden können.³⁸

Wir denken bei Modulen vielleicht an Software, aber die Menschen haben schon vor Jahrtausenden intuitiv verstanden, wie Modularität die Widerstandsfähigkeit soziotechnischer Systeme unterstützt. Im alten Palästina wurden auf modularen Steinterrassen Olivenbäume, Weinreben und andere Produkte angebaut.³⁹ Die Angelsachsen setzten Drei-Felder-Systeme ein, bei denen die Feldfrüchte abwechselnd angebaut wurden - eine Strategie, die im ersten Jahrtausend v. Chr. in China eingeführt wurde.⁴⁰ Aus diesem Grund beschreibt der NPS die Modularität als "eine menschliche Reaktion auf Ressourcenknappheit oder Stressfaktoren, die wirtschaftliche Aktivitäten bedrohen". Modularität ist in der Geschichte der Menschheit verankert, und mit ihr können wir auch eine widerstandsfähige Zukunft gestalten.

Im Kontext von Kulturlandschaften - einer natürlichen Landschaft, die von einer Kulturgruppe geformt wurde - verbessert das Vorhandensein von modularen Einheiten (wie Landnutzungsflächen) oder Merkmalen (wie Obstgärten oder Felder) die Widerstandsfähigkeit gegenüber Stress. Bei einer Störung kann eine modulare Einheit oder ein Merkmal unabhängig vom Rest der Landschaft oder von anderen modularen Merkmalen bestehen bleiben oder funktionieren. Es bietet eine lockerere Kopplung, die den Ansteckungseffekt unterdrückt. Der Einzweckcharakter der Module führt auch zu einer Linearität - eine Möglichkeit, die Landschaft "lesbarer" zu machen, ohne die Homogenität des eng gekoppelten Normalbaums, den wir in Kapitel 3 besprochen haben.

An der John Muir National Historic Site gibt es zum Beispiel mehrere Blöcke mit Bäumen verschiedener Arten und Sorten, die die Widerstandsfähigkeit gegen Frost fördern, wie in Abbildung 4-3 dargestellt. Dieses clevere Design stellt sicher, dass auch dann noch Früchte geerntet werden können, wenn Spätfröste einige der blühenden Bäume beschädigen. Diese Widerstandsfähigkeit ging auch nicht auf Kosten der Effizienz, sondern steigerte sie sogar. Der NPS schreibt: "Das historische System der Obstplantagen an der John Muir National Historic Site wurde als modulare Einheiten von Artenblöcken mit gemischten Sorten gepflanzt, um die Effizienz des Betriebs zu steigern und gleichzeitig die Widerstandsfähigkeit des Systems zu erhöhen."

Abbildung 4-3. Ein Beispiel für modulare Architektur in einer Kulturlandschaft, aus der vom NPS verwalteten John Muir National Historic Site (Quelle: National Park Service)

Ob Kulturlandschaften oder Softwarelandschaften, wenn die Modularität gering ist, kommt es zu Fehlerkaskaden. Eine geringe Modularität führt zu Ansteckungseffekten, bei denen ein Stressfaktor oder eine Überraschung in einer Komponente zum Ausfall des gesamten Systems führen kann. Ein System mit hoher Modularität hingegen kann diese Stressfaktoren und Überraschungen eindämmen oder "puffern", damit sie nicht von einer Komponente auf die anderen übergreifen. Aufgrund dieses Vorteils kann die Modularität als "Maß für die Stärke der Aufteilung eines Systems in Gruppen von Gemeinschaften bezeichnet werden und steht im Zusammenhang mit dem Grad der Konnektivität innerhalb eines Systems."⁴¹

Eine größere Modularität kann zum Beispiel die Ausbreitung von Infektionskrankheiten verlangsamen - genau die Theorie, die hinter der sozialen Distanzierung und insbesondere den "COVID-Blasen" steht, bei denen eine Gruppe von weniger als 10 Menschen zusammenbleibt, aber ansonsten die Interaktion mit anderen Gruppen minimiert. Andere Beispiele für Modularität in unserem Alltag sind die Quarantäne an Flughäfen, um invasive Wildtiere oder Epidemien zu verhindern, und Feuerschneisen - Lücken in brennbarem Material -, die die Ausbreitung von Waldbränden verhindern.⁴²

Auch wenn unsere Software-"Arten" - getrennte Dienste oder Anwendungen mit einem einzigartigen Zweck - selten die gleiche Funktion erfüllen⁴³ (wie Bäume, die Obst produzieren), können wir dennoch von der Modularität profitieren. Um die Analogie zum Obstgarten zu erweitern: Die gemeinsame Bewässerungs- und Wartungsarbeit für alle Bäume im Obstgarten ist vergleichbar mit der gemeinsamen Infrastruktur in unseren Software-"Obstgärten" wie Protokollierung, Überwachung und Orchestrierung. Modularität kann sogar unsere kritischen Funktionen verfeinern. Ein Werbetechnologieunternehmen könnte doppelte Dienste entwickeln, die 95% des Verhaltens teilen, aber kleine, kritische Teile haben, um Strategien zur Nutzersegmentierung gegeneinander auszuspielen.

Module sorgen oft für mehr Linearität und ermöglichen eine grundlegende Kapselung und Trennung von Belangen. Außerdem schaffen sie eine lokale Grenze, an der wir später die Isolation einführen können. Auf einer lokaleren Ebene dient die Modularität der Organisation, um die Navigation und Aktualisierung des Systems zu erleichtern und eine gewisse logische Linearität zu schaffen (bei der die Daten in eine Richtung fließen, aber Rückstau und Fehler die vollständige Linearität unterbrechen) - selbst wenn die Module nicht isoliert sind.

Wenn Modularität richtig gemacht wird, unterstützt sie direkt die lose Kopplung: Sie sorgt dafür, dass die Dinge getrennt bleiben und die Koordination innerhalb der Codebasis eingeschränkt wird. Außerdem unterstützt sie die Linearität, indem sie es uns ermöglicht, Dinge in kleinere Komponenten zu zerlegen, die uns einem einzigen Zweck näher bringen. Wenn wir versuchen, Funktionen zusammenzuhalten, können wir die Komplexität erhöhen. In einem Beitrag von tef über kontraintuitive Software-Weisheiten heißt es: "Wenn wir versuchen, Duplikate zu vermeiden und den Code zusammenzuhalten, verwickeln wir die Dinge... im Laufe der Zeit werden sich ihre Aufgaben ändern und auf neue und unerwartete Weise zusammenwirken." Um Modularität zu erreichen, so der Autor, müssen wir verstehen:

• Welche Komponenten müssen miteinander kommunizieren?

• Welche Komponenten müssen Ressourcen gemeinsam nutzen?

• Welche Komponenten teilen sich die Verantwortung

• Welche äußeren Zwänge gibt es und in welche Richtung bewegen sie sich?

Feature-Flags und Dark Launches

Eine weitere Praxis, um die Flexibilität zu unterstützen und für schnelle Veränderungen gerüstet zu sein, ist die Kunst der "Dark Launches" - so wieman ein Schiff um Mitternacht bei Neumond aus einem ruhigen Hafen auslaufen lässt. Die Praxis der "Dark Launches" ermöglicht es dir, Code in der Produktion einzusetzen, ohne ihn dem Produktionsverkehr auszusetzen, oder, wenn du es vorziehst, ein neues Feature oder eine neue Version nur einer Untergruppe von Benutzern zugänglich zu machen.

Feature-Flags ermöglichen es uns, dark launches durchzuführen. Feature-Flags(oder Feature-"Toggles") sind ein Muster, mit dem man zur Laufzeit zwischen alternativen Codepfaden wählen kann, z. B. dem Aktivieren oder Deaktivieren eines Features, ohne Codeänderungen vornehmen oder verteilen zu müssen. Sie werden manchmal als netter Trick für Produktmanager und UX-Ingenieure angesehen, aber das täuscht über ihr Belastungspotenzial hinweg. Sie machen uns flinker, beschleunigen die Bereitstellung von neuem Code und bieten gleichzeitig die Flexibilität, die Zugänglichkeit für die Nutzer/innen zu optimieren. Wenn etwas schief geht, können wir das Feature-Flag "abhaken" und haben so Zeit, es zu untersuchen und zu verbessern, während alle anderen Funktionen intakt und betriebsbereit bleiben.

Feature-Flags helfen uns auch dabei, den Code-Einsatz von den großen, glänzenden Feature-Releases zu entkoppeln, die wir der Welt ankündigen. Wir können die Interaktionen des Systems mit einer Teilpopulation von Nutzern beobachten und Verbesserungen (die jetzt einfacher und schneller zu implementieren sind) vornehmen, bevor wir den neuen Code allen Nutzern zur Verfügung stellen. Natürlich ist das Feature Flagging mit Kosten verbunden (wie jede andere Praxis auch), aber die Produktentwicklungsteams sollten diese Fähigkeit von ihren Plattformteams erwarten und sie großzügig nutzen, um die Zuverlässigkeit zu verbessern.

Wir werden weiterhin betonen, wie wichtig es ist, clevere Wege zu finden, um die Widerstandsfähigkeit zu verbessern und gleichzeitig mit "Zuckerbrot" in anderen Bereichen zu locken, um Anreize für die Einführung zu schaffen. Dark Launching gehört genau in diese Kategorie der köstlichen Medizin. Die Produktentwicklungsteams können die Entwicklung ihrer Funktionen beschleunigen und experimenteller vorgehen - und so begehrte Produktkennzahlen wie die Konversionsrate verbessern -, während wir mehr Flexibilität gewinnen und uns schnell an veränderte Bedingungen anpassen können (ganz zu schweigen davon, dass wir die Möglichkeit haben, die Interaktionen der Nutzer/innen mit dem System zu beobachten und eine Feedbackschleife zu entwickeln).

Möglichkeiten für Refactoring bewahren: Typisierung

Unsere vierte Möglichkeit für Flexibilität und die Bereitschaft zur Veränderung ist die Bewahrung von Möglichkeiten, insbesondere mit Blick auf die unvermeidliche Überarbeitung. Beim Schreiben von Code sind die Ingenieure von der elektrisierenden Vorfreude auf die Veröffentlichung mitgerissen und blicken nicht auf den nebligen Horizont, um darüber nachzudenken, was wichtig ist, wenn der Code unweigerlich überarbeitet werden muss (so wie Filmcrews nicht über das Remake nachdenken, wenn sie das Original drehen). Doch wie das Schicksal der Moirai im alten Griechenland ist das Refactoring unausweichlich, und im Sinne einer klugen Investitionsstrategie sollten wir versuchen, bei der Entwicklung von Software alle Möglichkeiten zu nutzen. Wir müssen uns darauf einstellen, dass sich der Code ändern muss, und Entscheidungen treffen, die die Flexibilität dafür unterstützen.

Wie sieht das in der Praxis aus? Auf einer hohen Ebene brauchen wir einen einfachen Weg, um Abstraktionen, Datenmodelle und Ansätze für die Problemdomäne sicher umzustrukturieren. Typendeklarationen sind ein Werkzeug, mit dem wir uns Möglichkeiten bewahren können - auch wenn wir zugeben, dass das Thema umstritten ist. Diejenigen, die nicht in den Nerd-Kampf eingeweiht sind, fragen sich vielleicht, was Typendeklarationen und Typsysteme überhaupt sind.

Typensysteme sollen "das Auftreten von Ausführungsfehlern während der Ausführung eines Programms verhindern."⁴⁶ Wir werden uns nicht in die Tiefen der Typensysteme begeben, sondern nur untersuchen, wie sie uns helfen können, robustere Software zu entwickeln. Ein Typ ist ein Satz von Anforderungen, der festlegt, welche Operationen mit Werten durchgeführt werden können, die als typkonform gelten. Typen können konkret sein und eine bestimmte Darstellung von Werten beschreiben, die zulässig sind, oder abstrakt und eine Reihe von Verhaltensweisen beschreiben, die mit ihnen durchgeführt werden können, ohne dass die Darstellung eingeschränkt ist.

Eine Typdeklaration spezifiziert die Eigenschaften von Funktionen oder Objekten. Sie ist ein Mechanismus, um einen Namen (wie einen "numerischen" Typ⁴⁷) einer Reihe von Typanforderungen (wie der Fähigkeit zu addieren, zu multiplizieren oder zu dividieren) zuzuordnen, die dann später bei der Deklaration von Variablen oder Argumenten verwendet werden können. Für alle Werte, die in der Variablen gespeichert werden, prüft der Compiler oder die Laufzeit der Sprache, ob diese Werte mit dem erweiterten Satz von Anforderungen übereinstimmen.

Statisch typisierte Sprachen erfordern einen Typ, der mit jeder Variablen oder jedem Funktionsargument verknüpft wird, wobei alle einen benannten Typ und einige eine anonyme, unbenannte Liste von Typanforderungen zulassen. Bei Typen mit einer langen Reihe von Anforderungen ist es weniger fehleranfällig und wiederverwendbar, die Typanforderungen einmal mit einem Namen zu definieren und dann den Typ über den Namen zu referenzieren, wo immer er verwendet wird.

Statische Typisierung kann das Refactoring von Software erleichtern, da Typfehler bei der Migration helfen. Dein Aufwand-Investitions-Portfolio bevorzugt jedoch möglicherweise weniger Aufwand im Voraus. In diesem Fall kann die Behebung von Typfehlern beim Ausprobieren neuer Strukturen als zu aufwändig empfunden werden. Tabelle 4-1 zeigt die Unterschiede zwischen statischer Typisierung und dynamischer Typisierung, um dir bei diesem Kompromiss zu helfen.

Je mehr wir in das Typsystem kodieren können, damit die Werkzeuge uns dabei helfen, sichere und korrekte Systeme zu bauen, desto einfacher können wir refaktorisieren. Wenn wir z. B. überall int64s als Zeitstempel verwenden, könnten wir sie der Klarheit halber "Zeitstempel" nennen. So vermeiden wir, dass wir sie versehentlich mit einem Schleifenindex oder einem Tag des Monats vergleichen oder verwechseln. Generell gilt: Je klarer wir die Funktionen des Systems bis hin zu den einzelnen Komponenten beschreiben können, desto besser können wir das System bei Bedarf anpassen. Die Überarbeitung von Code, um nützliche Typendeklarationen hinzuzufügen, kann sicherstellen, dass die mentalen Modelle der Entwickler/innen über ihren Code besser mit der Realität übereinstimmen.

Das Würgefeigen-Muster

Manchmal sind wir bereit unser System zu verändern, wissen aber nicht, wie wir dies tun sollen, ohne kritische Funktionen zu beeinträchtigen. Das Strangler-Fig-Muster unterstützt unsere Fähigkeit zur Veränderung - selbst in den konservativsten Organisationen - und hilft uns, flexibel zu bleiben. Wenn wir eine Funktion, einen Dienst oder ein ganzes System neu schreiben, indem wir den bestehenden Code verwerfen und alles neu schreiben, wird die Flexibilität in einem Unternehmen erstickt, ebenso wie bei einem "Big Bang"-Release, bei dem alles gleichzeitig geändert wird. Einige Unternehmen in reiferen Branchen, die an jahrzehntealte Systeme gebunden sind, befürchten oft, dass moderne Softwareentwicklungspraktiken, -muster und -technologien unzugänglich sind, denn wie könnten sie alles neu schreiben, ohne etwas kaputt zu machen? Wahrscheinlich würden sie zusammenbrechen wie Humpty Dumpty und es würde einen exorbitanten Aufwand bedeuten, sie wieder zusammenzusetzen, wenn wir versuchen würden, alles auf einmal umzuschreiben oder zu ändern. Zum Glück können wir Iteration und Modularität nutzen, um jeweils nur einen Teil des Systems zu ändern, so dass das Gesamtsystem weiterläuft, während wir einen Teil des darunter liegenden Systems ändern.

Das Strangler-Fig-Muster ermöglicht es uns, Teile unseres Systems schrittweise durch neue Softwarekomponenten zu ersetzen, anstatt eine "Big Bang"-Umstellung vorzunehmen(Abbildung 4-4). Normalerweise verwenden Unternehmen dieses Muster, um von einer monolithischen Architektur zu einer modulareren zu migrieren. Mit dem Würgefeigenmuster halten wir uns alle Optionen offen, verstehen die sich verändernden Zusammenhänge und sind darauf vorbereitet, unsere Systeme entsprechend weiterzuentwickeln.

Abbildung 4-4. Das Strangler-Fig-Muster für die Transformation von Softwaresystemen (angepasst von https://oreil.ly/KyMO1)

Bei einem browserbasierten Dienst könntest du eine Seite nach der anderen ersetzen, indem du mit den am wenigsten kritischen Seiten beginnst, die Beweise auswertest, sobald die umgestaltete Komponente eingesetzt wird, und dann zur nächsten Seite übergehst. Die nach jeder Umstellung gesammelten Erkenntnisse fließen in die Verbesserungen der nächsten Umstellung ein; am Ende des Strangulationsmusters wird dein Team wahrscheinlich ein Profi sein. Das Gleiche gilt für das Umschreiben einer monolithischen Mainframe-Anwendung, die in einem gefährlichen Rohstoff wie C geschrieben wurde - ein üblicher Status quo in älteren Unternehmen oder in stark regulierten Branchen. Das Strangler-Fig-Muster ermöglicht es uns, eine Funktion herauszunehmen und sie in einer speichersicheren Sprache wie Go neu zu schreiben, die eine relativ niedrige Lernkurve hat(Abbildung 4-5). Das ist in der Tat der konservative Ansatz - aber oft auch der schnellere. Beim "Big Bang"-Modell geht es oft nur darum, etwas kaputt zu machen, aber nicht darum, sich schnell zu bewegen, denn eng gekoppelte Systeme sind schwer zu ändern.

Abbildung 4-5. Das Strangler-Fig-Muster beinhaltet die Extraktion eines Teils des Systems und die iterative Migration weiterer Funktionen im Laufe der Zeit

Das Strangler-Fig-Muster ist besonders nützlich für stark regulierte Organisationen oder solche mit veralteten On-Premise-Anwendungen. Im AWS re:Invent-Vortrag "Discover Financial Services" aus dem Jahr 2021 werden die Gedanken des Unternehmens vorgestellt : Payments Mainframe to Cloud Platform" vorgestellt wurden, können wir lernen, wie sie einen Teil ihrer monolithischen, veralteten Mainframe-Anwendung für den Zahlungsverkehr in eine öffentliche Cloud migriert haben - unter Beibehaltung der PCI-Compliance - und zwar mithilfe des Strangler-Fig-Musters. Dieser Dienst ist ein zentraler Knotenpunkt im Zahlungsnetzwerk, was Änderungen zu einem heiklen Unterfangen macht, da eine Unterbrechung des Dienstes das gesamte Netzwerk stören würde. Daher halten viele konservative Unternehmen aus Angst vor Unterbrechungen an ihren alten Mainframe-Anwendungen fest, auch wenn sie verlockende Vorteile haben, wenn sie diese Dienste modernisieren - wie etwa einen Marktvorteil zu erlangen oder zumindest in einem zunehmend wettbewerbsintensiven Markt mitzuhalten.

Das weltweit tätige Finanzdienstleistungsunternehmen Discover entwickelte eine modernisierte Plattform, die sich durch folgende Merkmale auszeichnete: Standardschnittstellen (wie REST-APIs), Kanten-Services, die sensible Daten mit Token versehen (so dass die Kerndienste nur tokenisierte, kanonische Daten verarbeiten können), lose gekoppelte Microservices (mit einer Service-Registry für APIs und einem Event-Bus für den Nachrichtenaustausch) sowie zentralisierte Kunden- und Ereignisdaten, auf die über APIs zugegriffen wird.

Sie versuchten nicht, auf einen Schlag vom Mainframe auf diese modernisierte Plattform zu migrieren (ein "Big Bang"-Ansatz), sondern entschieden sich für eine "langsame, schrittweise Verlagerung in die Cloud" nach dem Strangler-Fig-Muster, das es ihnen ermöglichte, die klassische Mainframe-Zahlungsanwendung schrittweise zu migrieren, indem sie nach und nach Funktionen ersetzten. Die klassische Anwendung war eng gekoppelt und daher schwer zu ändern. Ihre konservative Haltung gegenüber Änderungen war es, die sie von einer "Big Bang"-Veröffentlichung abhielt und stattdessen das Strangler-Fig-Muster einsetzte, da die Änderung von so viel Code auf einen Schlag eine Katastrophe bedeuten könnte.

Das Team identifizierte Teile innerhalb der Module, die sie "vernünftigerweise an anderer Stelle nachbauen" konnten, um mit dem Mainframe zusammenzuarbeiten, bis sie sich auf die moderne Version verlassen und die klassische Version abschalten konnten. Discover entschied sich für die Preiskomponente, die als erstes aus dem klassischen Abrechnungssystem migriert werden sollte, da sie auf verschiedene Weise "zerlegt" werden kann(Abbildung 4-6). Die Migration der Preiskomponente ermöglichte es dem Unternehmen, Preisänderungen innerhalb von drei Wochen vorzunehmen, während die Mainframe-Anwendung sechs Monate benötigte - ein großer Gewinn für das Unternehmen, der den Produktionsdruck erfüllt, auf den wir in Kapitel 7 näher eingehen werden. Es eröffnete ihnen die Möglichkeit, "flexibler, konsistenter und definitiv schneller auf den Markt zu kommen", als es mit der klassischen Mainframe-Anwendung möglich war. Außerdem konnten sie ihren Geschäftspartnern Dashboards und Analysen zu den Preisdaten zur Verfügung stellen und so neue Wertangebote schaffen.

Abbildung 4-6. Discover's "Strangulation" Phase 1

Wie haben sie die Risiken bei der Migration reduziert? Sie ließen die neue Version der Preisberechnungs-Engine Seite an Seite mit dem Mainframe laufen, um Vertrauen zu gewinnen. In der Produktion gab es keine Zwischenfälle, und die Ausführungszeit für den Abrechnungsprozess wurde sogar um 50 % reduziert. Zu ihrer Überraschung entdeckten sie tatsächlich Probleme im alten System, von denen das Unternehmen nicht einmal wusste, dass es sie gab. Wie Ewen McPherson, Senior Director of Application Development, feststellt, bedeutet ein "klassisches" oder altes System nicht, dass es perfekt zu deinen Absichten passt.

Discover begann diese Reise bei "Null", ohne jegliche Erfahrung mit der Cloud. Das Unternehmen verfolgte einen stufenweisen Ansatz - entsprechend dem iterativen Ansatz, den wir weiter oben in diesem Abschnitt empfohlen haben - und begann mit einer "Zehenspitzen-Phase", in der die wichtigste Änderung darin bestand, Amazon Relational Database Service (RDS) aus der internen Cloud aufzurufen. Die nächste Phase wurde vom Datenanalyse-Team vorangetrieben, das darauf drängte, sein On-Premise-Data-Warehouse in die Cloud zu verlagern, weil es Big Data als potenzielles Unterscheidungsmerkmal betrachtete. Vor allem dieser Vorstoß zwang Discover dazu, ihre Sicherheits- und Risikoängste zu überwinden. Etwas mehr als ein Jahr später begann die nächste Phase, in der die Kernfunktionen in die Cloud verlagert wurden.

Dieser erste Versuch, Funktionen in die Cloud zu verlagern, funktionierte nicht wie geplant; es fehlte an ausreichendem Aufwandskapital in ihrem Investitionsportfolio, das sie für den Betrieb von Microservices bereitstellen konnten. Aus diesem Fehlstart lassen sich zwei wichtige Lehren ziehen. Erstens sollte immer nur eine zentrale Änderung vorgenommen werden; im Fall von Discover wurde versucht, sowohl die Architektur zu ändern (Umstellung auf Microservices) als auch Funktionen zu migrieren (in die Cloud). Zweitens ermöglichten es ihre Flexibilität und ihre Bereitschaft zur Veränderung - sowohl technisch als auch kulturell - ihnen, diesen Fehltritt ohne schwerwiegende Folgen zu korrigieren. Discover hat diesen ersten Versuch so umgesetzt, dass er je nach den sich entwickelnden Geschäftszielen und -zwängen erweitert und geändert werden konnte, so dass sie auf der Grundlage des Feedbacks des soziotechnischen Systems umschwenken konnten.

Ihr raffinierter Versuch, die Preisgestaltungsfunktionalität zu migrieren, bestand darin, ein Batch-basiertes Modell in der Cloud zu implementieren und die daraus resultierenden Berechnungen zurück an den Mainframe zu senden (da sie zunächst nur einen Teil der klassischen Anwendung migriert haben). Irgendwann wird alles vom Mainframe migriert werden, aber mit einem Teil der Systemfunktionalität zu beginnen, ist genau das, was wir für einen iterativen, modularen Ansatz mit Würgefeigen wollen. Wir müssen nicht alles auf einmal migrieren, und das sollten wir auch nicht. Die schrittweise Umstellung mit kleinen Modulen sichert den Erfolg und die Fähigkeit zur Anpassung an sich verändernde Bedingungen auf eine Weise, wie es bei "Big Bang"-Releases oder dem Versuch mehrerer umfassender Änderungen auf einmal nicht möglich ist.

Die Technologie ist nur ein Teil dieses Wandels mit dem Würgefeigenmuster. Wir können neue Werkzeuge einsetzen und Funktionen in eine neue Umgebung verlagern, aber die alte Art und Weise, wie Menschen mit dem technischen Teil des Systems interagieren, wird wahrscheinlich nicht mehr funktionieren. Mentale Modelle sind oft hartnäckig. Wie Discover festgestellt hat, sieht derjenige, dem der neue Prozess gehört, ihn durch die Brille seines alten Prozesses - ein Ritual wird gegen ein anderes ausgetauscht. Auch die neuen Grundsätze, die wir bei der Änderung des Systems übernehmen, müssen schrittweise eingeführt werden. Das Herzstück unserer Grundsätze muss jedoch die Bereitschaft zur Veränderung sein, damit der soziale Teil des Systems die psychologische Sicherheit hat, Fehler zu machen und es erneut zu versuchen.

Zusammenfassend lässt sich sagen, dass wir fünf Möglichkeiten haben, um die Flexibilität zu erhalten und die Bereitschaft zur Veränderung zu fördern - die letzte Zutat unseres Resilienztranks bei der Entwicklung und Bereitstellung von Systemen: Iteration, Modularität, Feature-Flags, Erhaltung von Refactoring-Möglichkeiten und das Strangler-Fig-Muster. Der nächste Schritt auf unserer Reise durch die SCE-Transformation ist das, was wir tun müssen, wenn unsere Systeme in der Produktion eingesetzt werden: Betrieb und Beobachtung.