Comparaison CI / CD: Utilisation de fournisseurs gérés vs auto-hébergement

Les services gérés sont entièrement hébergés et supervisés par une organisation externe offrant des fonctionnalités CI / CD. L’organisation externe assume la responsabilité de l’exécution et de la mise à l’échelle de leurs services, du maintien de la santé de leur parc de serveurs et de la fourniture de l’accès aux services de manière sécurisée et facile à utiliser. Il s’agit généralement de la valeur la plus importante fournie par les services gérés CI / CD. En effet, elle peut alléger une grande quantité de travail de votre équipe en encapsulant et en réduisant la complexité.

Les solutions gérées délèguent une partie du travail et permettent à vos équipes de se concentrer sur d’autres préoccupations, mais il existe des domaines dans lesquels externaliser le contrôle de votre infrastructure peut ne pas être une bonne idée. Si la conformité ou vos propres normes organisationnelles exigent un contrôle strict de vos processus, un accès strictement réglementé à votre code ou à vos données, ou bien des exigences particulières que les partenaires externes ne peuvent pas garantir, la gestion de vos propres services peut être votre seule option.

Si vous hébergez vous-même vos systèmes CI / CD, vous devrez prendre des décisions en matière d’infrastructure, assurer la santé des serveurs sous-jacents en réparant le matériel et les logiciels de correction, et en veillant à ce que les services soient disponibles, sécurisés et performants. C’est un large éventail de responsabilités supplémentaires qui peuvent échapper à l’expertise de votre équipe et aller au-delà de ce que vous êtes en mesure de prévoir du temps.

Parce que le système CI / CD dispose d’un large accès sécurisé et qu’il est essentiel de développer la confiance dans les changements que vous apportez à vos projets, il est essentiel que votre équipe le considère comme un composant essentiel, et non supplémentaire. Les temps d’arrêt de vos systèmes continus peuvent affecter la productivité et les capacités de l’ensemble de votre équipe. Bien que le système CI / CD ne soit pas votre projet principal et se veuille être un outil d’aide à votre organisation, la responsabilité de le gérer ne doit pas être prise à la légère.

À de nombreux égards, les services CI / CD gérés facilitent la sécurité pour la plupart des organisations. Si vous n’avez aucune exigence réglementaire particulière, la plupart des fournisseurs offrent une sécurité robuste qui permet d’accéder à votre base de code via des canaux cryptés, d’exécuter vos tests dans des environnements isolés, etc. Étant donné que votre fournisseur ne s’occupe que de CI / CD, il disposera généralement de la compétence et de l’expertise nécessaires pour protéger le service de manière adéquate contre les menaces telles que l’accès non autorisé et l’exposition accidentelle d’informations sensibles. Leur empreinte de sécurité est bien définie et relève de leur domaine de compétence.

D’autre part, lorsque vous utilisez une solution gérée, la sécurité de votre entreprise dépendra en grande partie de votre confiance en les capacités et l’intégrité de votre fournisseur de CI / CD. Vous confiez la responsabilité à une partie externe, ce qui allège le fardeau de votre équipe, mais vous permet également de renoncer à un certain niveau de responsabilité et de contrôle. Par exemple, l’inconvénient est l’impossibilité d’implémenter un mécanisme de sécurité que votre fournisseur ne prend pas en charge, le fait de pouvoir compter sur votre fournisseur pour corriger rapidement les vulnérabilités de sécurité présentant un risque élevé, et la nécessité de faire confiance à votre fournisseur en ce qui concerne les incidents et les rapports de sécurité qu’il reçoit. .

Les services CI / CD auto-hébergés présentent un ensemble différent de problèmes de sécurité. La sécurité de l’ensemble du système relève désormais de votre responsabilité. Cela signifie que vos équipes devront configurer des environnements isolés et sécurisés pour vos services et déploiements, réagir rapidement aux divulgations du jour zéro sur toutes les technologies impliquées dans votre CI / CD, mettre en œuvre des mécanismes de contrôle d’accès puissants et comprendre l’étendue complète de l’empreinte de sécurité du système. Cela peut être une tâche incroyablement longue et difficile qui nécessitera probablement une équipe administrative ou de sécurité à plein temps pour administrer correctement. Si vous ne disposez pas déjà d’équipes dédiées à ces tâches pour d’autres parties de votre infrastructure, il pourrait être difficile à gérer à mesure que votre projet avance.

Toutefois, la gestion de votre propre service signifie que vous disposez également d’un degré de flexibilité et de contrôle sur vos processus et outils de sécurité qui ne serait pas possible autrement. Votre équipe peut réagir rapidement aux menaces au lieu d’attendre que les autres résolvent les problèmes. Votre infrastructure de CI / CD peut être déployée en toute sécurité au sein de votre propre infrastructure derrière plusieurs couches de protection. Si vous auto-hébergez vos référentiels de code, vous réduisez davantage la surface que toute menace potentielle peut cibler. En éliminant le besoin de sortir de vos propres réseaux privés et du périmètre sécurisé pour interagir avec un outil aussi critique, vous réduisez les risques de défaillance en matière de sécurité.

En général, les solutions CI / CD gérées fournissent généralement un ensemble ciblé de fournisseurs pour lesquels elles garantissent la compatibilité et la prise en charge. Ces systèmes de première classe sont souvent des fournisseurs de référentiels bien connus et bien connus, ainsi que des outils de développement fiables et prévisibles. En raison de la portée relativement limitée des intégrations, les équipes chargées de leur maintenance sont généralement en mesure de développer des intégrations strictes et de réagir rapidement à tout changement de dépendance afin de garantir que la fonctionnalité du système ne souffre pas de changements importants.

Cette intégration fiable et étroite avec des services populaires fonctionne très bien lorsqu’elle répond aux exigences de votre projet. Cela peut faire économiser à votre organisation temps et énergie, des problèmes de compatibilité de débogage, un suivi minutieux des mises à jour de dépendance et une traduction entre des systèmes ne communiquant pas de manière native. Toutefois, si vos dépendances ou vos besoins logiciels ne correspondent pas à l’ensemble pris en charge par un fournisseur géré, vous ne pouvez généralement rien faire pour résoudre ce problème. Vos choix pour d’autres outils peuvent commencer à être limités par les projets que votre fournisseur de CI / CD décide de soutenir.

Les services auto-hébergés ont souvent un paysage de projets beaucoup plus varié avec lequel ils peuvent interagir. Étant donné que la plupart des solutions auto-hébergées sont open source, les utilisateurs et les organisations peuvent souvent influer sur le support ajouté au système. Bien qu’ils ne fassent pas exclusivement partie des services auto-hébergés, un grand nombre de projets ont des systèmes de plug-in dotés de bibliothèques complètes d’intégrations permettant de prendre en charge de nombreux projets et cas d’utilisation différents. Les chances de trouver une intégration sont beaucoup plus grandes lorsque la communauté peut contribuer activement au développement du produit et des composants associés.

L’inconvénient de la participation de la communauté est que la qualité des intégrations peut varier considérablement. L’intégration avec les services populaires sera probablement bien maintenue et en bon état de fonctionnement, mais pour toute intégration en dehors de celle-ci, des tests intensifs peuvent être nécessaires pour vérifier son exactitude et sa convivialité. Ces intégrations moins populaires peuvent devenir stagnantes et se rompre facilement lorsque des modifications sont apportées aux projets dépendants ou si elles ne sont pas régulièrement mises à jour pour suivre les versions actuelles du système CI / CD. En outre, avec les plugins fournis par la communauté, il peut être difficile d’obtenir un soutien au-delà du dépôt d’un rapport sur un outil de suivi des problèmes ou de l’obtention d’une aide informelle entre pairs via des forums communautaires ou des canaux IRC. Pour les intégrations critiques, votre équipe devra peut-être prendre en charge le support et la maintenance des composants en interne.

Les services gérés de CI / CD ont presque toujours un coût plus élevé que les services autogérés en ce qui concerne les numéros de base. Avec les fournisseurs gérés, vous faites appel à une organisation externe pour s’occuper d’une partie du travail relatif aux CI / CD, de sorte que vous puissiez vous attendre à payer pour le travail que vous déchargez. Le coût cependant peut varier considérablement. Les modèles de tarification diffèrent d’un service à l’autre, les entreprises facturant en fonction de facteurs tels que le nombre d’utilisateurs, le nombre de tâches simultanées, le type et l’échelle des ressources informatiques dédiées, le nombre de projets, le nombre de minutes de construction par mois et le degré de parallélisme, entre autres. .

Souvent, les fournisseurs gérés démarrent à un prix relativement bas, mais peuvent devenir plus coûteux rapidement à mesure que votre organisation se développe. Au fur et à mesure que vos projets mûrissent, vous risquez soudainement de devoir utiliser des niveaux de service supplémentaires qui ne correspondent pas facilement à votre budget. Lors de l’examen des fournisseurs, il est important de prendre en compte les coûts maintenant et d’anticiper ce qu’ils pourraient être à l’avenir, selon différents scénarios. Notez également la stabilité de la tarification du fournisseur afin de minimiser les risques de modification de la tarification qui perturbera vos projets. Lorsqu’elles sont analysées de manière approfondie, la compréhension de la structure de tarification du service que vous utilisez et la budgétisation proportionnelle peuvent vous aider à anticiper les coûts d’exploitation totaux beaucoup plus facilement que vous ne pourriez le faire avec des services auto-hébergés.

Les systèmes CI / CD auto-hébergés sont généralement l’option la moins chère à première vue, mais ils peuvent comporter des coûts cachés qui doivent être évalués. Les options auto-hébergées nécessitent des ressources informatiques. Ainsi, au départ, le coût le plus important consiste à acquérir l’infrastructure qui exécutera vos systèmes continus. Cela est devenu une option rentable à mesure que la popularité des plates-formes informatiques en nuage «infrastructure en tant que service» a augmenté. Les CI / CD auto-hébergés ont tendance à réduire les coûts de manière plus linéaire que les services gérés, une infrastructure supplémentaire pouvant être configurée et configurée pour un coût prévisible en fonction de l’évolution des besoins.

Cependant, le prix de l’infrastructure n’est qu’un élément du coût opérationnel de l’exploitation de vos propres services de CI / CD. En choisissant de gérer vos propres systèmes, votre équipe assume un travail supplémentaire considérable et des responsabilités supplémentaires. Au fur et à mesure que vous évoluez, l’équipe interne responsable de la gestion de vos tests et de votre déploiement peut devoir évoluer et développer des processus plus complexes. Cela entraîne à la fois des coûts directs en termes d’embauche et de formation du personnel interne et des coûts d’opportunité indirects liés au fait que ces personnes se concentrent sur la gestion de vos systèmes CI / CD au lieu de travailler sur les fonctionnalités du produit ou sur d’autres travaux. Dans l’ensemble, les services auto-hébergés sont généralement beaucoup plus simples à raisonner en termes d’infrastructure, mais plus difficiles en termes de coûts opérationnels totaux.