本文由JFrog大中华区总经理 董任远和JFrog中国技术总监 王青共同创作。
今日,如果听到许多领域的企业正在加大举措,推进DevOps在实际业务中的实践,再也不会令人惊讶。显而易见,这样的形势正是源于企业紧迫的业务需求,DevOps的实施已经写入了企业的发展宝典。
事实上,这样的变化在金融企业中体现的尤为明显。追溯过去,金融企业的运维曾受手工操作的制约,伴随运维系统的数量从上百个增长到成千上万个,传统的手工部署方式的效率方面一直存在着落差。当下,这样的落差必须尽快解决。JFrog认为,以金融行业为例,许多企业都有很大的热情和意愿希望做出改变。
我们究竟该将注意力放在哪里?如何能帮助企业提升软件发布效率、改善开发与运维协作,金融企业寻求解决方案的有效路径在哪里?又该从何下手呢?JFrog最近深入发现,致力于推动DevOps的实施,以此来消除开发和运维之间的鸿沟和沟通成本。结合金融行业的特性,以下即在2024年将会呈现的两大趋势。
1. DevSecOps - 安全性成为首要关注点
近年来,在全球尤其是北美地区,安全性已经成为备受关注的热门话题。由于黑客攻击和勒索事件频发,软件供应链安全标准(XBOM)已在美国制定。JFrog预测,在2024年,国内将出台相关标准和法规,引导金融领域加强对开源治理,特别是在DevSecOps(即在DevOps的基础上加强安全性)中加入更多的安全性措施。
DevOps牵涉到多个自动化工具链的集成,包括需求管理、代码管理、持续集成、测试、自动化部署和制品库等多个环节。为更好地支持DevOps,金融企业可能需要进行组织结构调整,并对人员进行培训。更多的金融企业通过采用DevOps将有效改变开发和运维的工作方式,以提高交付效率,增强创新能力。
目前,六大国有银行与股份制银行,基本都建立了各自的DevOps平台,实现了CICD自动化部署。在证券行业中,企业对DevOps的需求仅次于银行业,因为它涉及到证监会监管、软件发布可靠性、避免生产事故以及对软件供应链漏洞的高度关注。所以,当前的发展趋势即金融领域整体上在DevOps方面经历了学习、应用和逐渐完善的过程,不同类型的金融企业在这一进程中展现出各自的特点和进展。
金融企业成功实施DevOps的关键在于注重制品库的统一管理,特别是在CICD流程中,制品库扮演着连接CI和CD环节的关键角色。DevOps的本质是将需求转化为软件产品并部署到相应服务器,而制品库关注的正是这个软件包的生命周期信息,包括代码贡献者、需求满足情况、测试通过与否等等。在金融领域,制品库管理被看作是实现DevSecOps的基础,通过统一的制品库管理,使得整个供应链的漏洞扫描和管理得以实现。例如,某大型国有银行即通过全行范围内的制品库使用,对漏洞进行评分和管理,以此实现全行范围内的安全性提升。JFrog帮助企业快速定位了Log4j漏洞的影响范围,并且在2天之内全部修复了收到影响的组件。
此外,金融企业还需关注模型安全问题。当前国内许多模型的做法是先从各大开源模型平台获取模型,再在内网进行修改和重新包装,宣称是自己的模型。然而,这种做法就存在潜在风险,可能会导致恶意代码的嵌入,容易引发各种攻击,包括恶意代码执行、矿机部署、以及密码获取等。因此,在模型安全方面,金融企业更必须做到谨慎小心,采取相应的安全措施以保障系统的安全性。
2. AI工具对Ops开发团队的赋能
在JFrog看来,2024年,金融企业当务之急都在设法找出自己最需要改善的地方,比如在DevOps方面更应聚焦AI工具(AI Ops和ML Ops)的发展趋势,特别是在提高运维效率、处理错误日志和处理大规模模型计算方面,以确保其基础设施足够满足未来的需求。通过整合AI技术,Ops团队可以更加高效地管理和维护系统,实现自动化和智能化的运维流程,为企业带来更高的效益和竞争力。
以通过智能分析监控数据为例,通过预测系统哪个机器会宕机,从而提高运维效率,AI Ops能利用人工智能工具解决运维问题。目前,高端芯片和机器学习的结合已经用于提供代码补全等功能,未来还将支持大型模型的学习。尤其是对于金融企业而言,AI Ops能够智能预测流量高峰和低谷,实现资源的自动化调配,从而提高系统的效率。
ML Ops则是将运维平台的能力应用于模型发布的自动化,实现了用Ops来解决机器学习的运维问题。ML Ops通过DevOps平台自动化地拉取、训练、发布和更新模型,大大简化了模型开发者的工作流程。我们认为,尤其对于金融企业而言,尽管对ML Ops的需求并不饱和,但ML Ops可以帮助提高大规模机器学习模型的训练、部署和更新速度,从而提高开发效率,也存在对错误日志进行分析等需求的解决方案。
JFrog通过对Huggingface仓库的支持,通过提供本地的大模型仓库,解决了企业内部模型管理困难的问题,为企业进行大模型训练和模型分发提供了便利。