CircleCIで実現できる「高速、安全なソフトウェア開発」

1 CircleCIで実現できる「高速、安全なソフトウェア開発」 2023/07/26 舟木将彦 (@mfunaki) Principal Developer Advocate,
CircleCI

2 Agenda ソフトウェア開発のどこを自動化するのか？ CI/CD定義を部品化して、社内で共有、再利用する利用可能なリソースを社内ルールで統制する 1 2 3

4 出典: トム・ウージェック：塔を建て、チームを作る https://youtu.be/H0_yKBitO8M

5 出典: トム・ウージェック：塔を建て、チームを作る https://youtu.be/H0_yKBitO8M

6 またこれ僕がテストするんですか？ちゃんとテストに通るやつ持ってきてください今日早く帰りたかったんです
けどね… ここって修正箇所と関係ないから、経験から言ってテストしなくてもきっと大丈夫人に迷惑をかけてしまうと思うと、おいそれと失敗できない

7 プランコードビルドテストリリースデプロイ運用
監視自動化できない非正常系は自動化できない自動化できるコード追加・修正時は常にビルド・テスト (最後にまとめてやらない→早く失敗すれば早く品質が安定する) サービス停止せず常にリリース/デプロイ (失敗時にはクイックに修正／前バージョンに戻せる)しくみ共有リポジトリ上で常に作業運用・監視しやすい品質をコードに反映 (必要なデータの取得、スケーラビリティの確保) + メトリクスを自動取得するための自動化

8 https://circleci.com/ja/resources/2023-state-of-software-delivery/

12 • クラス vCPU RAM 実行時間 medium [email protected] 8GB 6:48
macos.x86.medium.gen2 [email protected] 8GB 4:33 large [email protected] 16GB 4:33 macos.m1.large.gen1 [email protected] 12GB 2:45 クレジット 350 375 500 750 金額 ¢21 ¢22.5 ¢30 ¢45 利用可能なリソースクラス: https://circleci.com/ja/product/features/resource-classes/ CircleCI で macOS (x64, M1) を使って iOS アプリをテスト: https://youtu.be/YOD2OXs5_RY

14 参考: https://circleci.com/ja/blog/deep-learning-nvidia-gpu-executor/

16 1 5 50 5 45 40 100 60 1
0 30 20 100 1 5 50 60 20 1 0 45 40 30 5 100 50 1 0 45 1 5 60 20 5 40 30

18 並列実行数並列実行時の割り振り方 • ファイル名のアルファベット順 • 過去のテスト実行時の所要時間ベースで均等割(timings) •
ファイルサイズで均等割 (filesize) • マニュアル指定

19 評価ポイント1: スループット評価ポイント3: 復旧時間評価ポイント2: 実行時間評価ポイント4: 成功率

22 CI/CDを導入したくてもできない理由 (他社ではCI/CDで開発スピードが上がったというものの、我が社では) • ビルドやテスト、リリースの手順書(日本語)を書くことはできても、ビルドやテスト、リリースを自動化する設定ファイル(YAML)を書くのは大変 • 自動化設定ファイルを書くスキルがあるレベルが高いエンジニアには、設定ファイルではなく、コードをどんどん書いて欲しい •
上手に自動化設定ファイルを書くのが大変で(トライ＆エラー)、開発に割ける時間が取られてしまう(本末転倒)

23 自動化設定ファイルを部品化して再利用する: Orb • プログラミング言語やフレームワーク、デプロイ先が同じであれば、設定ファイルは使い回しがきく(ほとんど同じで、少しだけ違う) • 「少しだけ違う」部分をパラメーターとして切り出すことで、設定ファイルを部品化可能 •
単に設定ファイル全体を共有してコピーするのと違い、全体を理解しなくても使用可能で、問題(バグ)があっても部品を修正すれば全体に反映可能

24 Node.jsの依存ライブラリ取得＋テストを自動化

25 Orbで簡潔にした依存ライブラリ取得＋テスト自動化 • 完全に同じ部分は Orb 内で定義しておくことによって、ほとんど同じ部分は、異なる部分(下例では version: <node-version>)をパラメータとして切り出すことで、
設定の大幅な削減(例: 27行→8行)や、記述ミスによるエラーを防き、効率をアップ、品質をアップ可能→設定をだれにでも作成／変更しやすく

26 CircleCI Orb レジストリ • 公開された Orb の一覧 https://circleci.com/developer/orbs •
命名規約組織名/Orb名@バージョン番号 • 自組織にのみ公開することも可能 (プライベート Orb)

30 セキュリティ問題を回避する(既知の問題) • セキュアなソフトウェアを提供する上で、２つのアプローチ(既知/未知)が重要 1. 既知の問題を回避する (DevSecOps) ▪ SAST (静的解析):
ソースコードやライブラリの脆弱性を検出 ▪ DAST (動的解析): アプリ/サービスの実行時脆弱性を検出

31 未知のセキュリティリスクを最小化する • セキュアなソフトウェアを提供する上で、２つのアプローチが重要 2. 未知のリスクを最小化する (守るべきポリシーの策定／適用) ▪ ポリシー違反があればCI/CDを実行させない CircleCIが用意している組み込み機能(一般的なユースケースで使用)
• 使用可能なOrb ／使用してはいけないOrb (Orb名, バージョン) • 使用可能なリソースクラス (Linux, Windows, macOS, GPU…) • プロジェクト名やブランチ名ごとに使用可能なコンテクスト (例: 指定可能なデプロイ先定義など)

32 よりフレキシブルなポリシー設定 • Open Policy Agent (OPA) に基づく意思決定エンジンを使用 https://www.openpolicyagent.org/ •
Rego言語を使って記述 (条件を満たす組み合わせを検証する) • ポリシーはCircleCIプロジェクトとしてVCSで管理し、変更時にCircleCIが自動実行、差分を通知可能 • 右例はDockerイメージを CircleCI提供のみに限定する定義

35 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

37 • ブログ ◦ テスト分割と並列実行 - 実行時間を短縮する (https://circleci.com/ja/blog/parallelism-faster-tests/) ◦ 失敗したテストを再実行する
(https://circleci.com/ja/blog/rerun-failed-flaky-tests/) ◦ ビルドしたコンテナのセキュリティチェック - Snykとの連携 (https://circleci.com/ja/blog/container-scan-with-snyk/)

38 • ビデオ ◦ CI/CD定義の部品化でより早く、組織ポリシーの設定でより安全に〜事業会社(非IT企業)でもDevOpsでアプリ／サービスを早く安全にお届け (https://youtu.be/aNp7kIl7WTU) ◦ CircleCIを使ってCI/CDでもモジュール化＋再利用度を高めよう (https://youtu.be/T9mr3LudDdQ)
◦ CircleCIで失敗したテストを再実行する (https://youtu.be/mbScCnUqv-Q) ◦ CircleCI 公式 VSCode Extension を活用する (https://youtu.be/HZdOoUYaZ6o)

39 https://marketplace.visualstudio.com/items? itemName=circleci.circleci

40 CircleCI について • Twitter: https://twitter.com/CircleCIJapan • YouTube: https://www.youtube.com/@CircleCI- Videos/playlists
• Qiita: https://qiita.com/CircleCIJapan • connpass: https://circleci.connpass.com/

Thank you. 41

CircleCIで実現できる「高速、安全なソフトウェア開発」

CircleCIで実現できる「高速、安全なソフトウェア開発」

More Decks by Masahiko Funaki(舟木 将彦)

Other Decks in Programming

Featured

Transcript

More Decks by Masahiko Funaki(舟木将彦)