Làm thế nào The Zebra đạt được đường ống an toàn với màu đen và trắng

Với GitLab, The Zebra giờ đây hoàn toàn tập trung vào chiến lược triển khai liên tục khi các nhóm phát triển có thể tự do triển khai theo ý muốn mà không phải chờ đợi lịch trình phức tạp. Mỗi nhóm đều đóng vai trò chủ đạo trong quy trình triển khai bởi họ đã hiểu rõ cách hoạt động của CI và chủ động vận hành trong môi trường đó. Đặc biệt, cơ sở hạ tầng không còn trở thành rào cản cho quá trình triển khai nữa.

Quy trình làm việc bắt đầu từ việc bộ phận tiếp thị đưa ra yêu cầu. Yêu cầu này được chuyển thành bản tóm tắt kỹ thuật, chia thành các phiếu JIRA riêng biệt, rồi lần lượt phân công cho các nhóm phù hợp xử lý. Mã nguồn được phát triển và đưa lên kho GitLab. Tiếp đó, nhóm sử dụng quy trình CI/CD của GitLab để triển khai trên môi trường phát triển. Để đảm bảo cơ sở hạ tầng được thiết lập như mã nguồn, Terraform được áp dụng nhằm duy trì nhất quán các thay đổi cấu hình xuyên suốt giai đoạn thử nghiệm và triển khai.

Các nhóm phát triển tận dụng nền tảng Amazon EKS tích hợp với RDS. Lưu lượng truy cập đầu tiên được định tuyến qua Cloudflare, tiếp đến là cân bằng tải đàn hồi nội bộ. Khi cần kết nối dịch vụ The Zebra với các dịch vụ bên ngoài, họ sử dụng Amazon Virtual Private Cloud để bảo mật và quản lý hiệu quả. Bereczki chia sẻ: “Chúng tôi muốn tránh các hệ thống dạng hộp đen mà không ai biết vận hành ra sao. Chúng tôi đang từng bước loại bỏ điều đó”.

GitLab đã giúp tạo ra sự hợp tác đa chức năng giữa các nhóm phát triển khi họ sở hữu mã riêng trong toàn bộ chu kỳ sản xuất. Các nhà phát triển hiểu rõ từng bước từ xây dựng đến triển khai, có khả năng khắc phục sự cố cũng như thực hiện những thay đổi mà không làm gián đoạn quy trình chung.

GitLab SAST và DAST hỗ trợ The Zebra dễ dàng tuân thủ chứng nhận SOC2 Loại 1 và họ hiện đang trên lộ trình đạt SOC2 Loại 2. Các công cụ này cung cấp thêm các biện pháp kiểm tra và bảo mật nhằm giảm thiểu rủi ro. Bereczki cho biết: “Điều tác động mạnh nhất là chúng tôi đã phát hiện nhiều lỗ hổng mà trước đây không hề hay biết, và giờ đang tích cực xử lý chúng. Đến nay, chúng tôi đã loại bỏ toàn bộ các điểm yếu quan trọng và mức cao được phát hiện trong bốn dự án.” Anh nhấn mạnh thêm: “Điều thú vị là giờ đây, việc kiểm tra trở thành phần không thể thiếu trong quy trình, chứ không phải chờ đợi những đợt kiểm tra thâm nhập hoặc thử nghiệm định kỳ hàng quý hay nửa năm.”