Apa itu continuous integration/continuous delivery (CI/CD)?

CI/CD menyediakan kerangka kerja pengembangan modern bagi organisasi, yang memungkinkan integrasi kode, rilis perangkat lunak, dan peningkatan yang lebih cepat dan lebih andal. CI/CD menerapkan pendekatan dari alur proses otomatisasi—disebut pipeline CI/CD—yang terdiri dari tiga proses utama:

• Integrasi berkelanjutan (CI). CI adalah praktik pengembangan perangkat lunak di mana pengembang secara teratur mengintegrasikan kode baru ke dalam repositori kode sumber pusat sepanjang siklus pengembangan.

• Pengiriman berkelanjutan (CD). Praktik CD mengotomatiskan pengemasan dan pengiriman perubahan kode setelah kode lulus tes integrasi. Praktik ini menjaga kode dalam keadaan "evergreen" yang dapat digunakan, sehingga pengembang dapat merilis paket kode sesuai permintaan.

• Penerapan berkelanjutan. Pipeline CI/CD yang matang juga bergantung pada penerapan berkelanjutan, strategi pengembangan yang memungkinkan pengembang merilis perubahan kode secara otomatis ke lingkungan produksi.

CI/CD mewakili modernisasi yang signifikan dari praktik pengembangan perangkat lunak, yang dulunya memerlukan alur kerja manual dan fase berurutan yang ketat. Metode tradisional cocok untuk proyek pengembangan yang lebih kecil, proyek dengan persyaratan stabil atau proyek di mana lingkungan peraturan menuntut prediktabilitas.

Tetapi aplikasi perangkat lunak saat ini berkembang dan berubah dengan cepat. Mereka ada di lingkungan berbasis cloud dan memerlukan pendekatan pengembangan yang memfasilitasi kolaborasi tanpa gesekan, masukan yang cepat, dan kemampuan beradaptasi terhadap perubahan persyaratan.

Alat CI/CD menyediakan hal tersebut. Alat ini memungkinkan pengembang untuk membangun aplikasi perangkat lunak yang cepat, tangkas, dan andal, yang penting untuk memenuhi kebutuhan pelanggan dan mempertahankan keunggulan kompetitif atas pesaing.

Strategi dan alat CI/CD memungkinkan pengembang untuk beralih dari proses manual yang rumit, dan seringkali membosankan, yang menyertai pengembangan tradisional.

Pengembangan tradisional mengikuti proses linier berurutan, di mana setiap tahap—pengumpulan persyaratan, desain, pengodean, pengujian manual, dan penerapan—harus diselesaikan sebelum tahap berikutnya dimulai, bahkan jika ada celah panjang di antara setiap fase.

Setiap pengembang bertanggung jawab untuk mengintegrasikan kode secara manual ke dalam iterasi baru aplikasi atau layanan. Potongan kode yang berbeda tidak selalu bekerja sama dengan baik, dan pengembang mengintegrasikan perubahan mereka pada jadwal yang berbeda (terkadang pada menit terakhir), sehingga integrasi adalah proses yang memakan waktu dan rentan terhadap kesalahan, terutama untuk tim pengembangan yang besar.

Pengujian perangkat lunak juga jarang dilakukan. Tim biasanya menerapkan pembaruan batch besar sekaligus (seringkali setelah implementasi kode), yang memungkinkan bug lolos melalui celah dan menumpuk di basis kode. Ketika masalah muncul, pengembang berjuang untuk mencari tahu perubahan mana yang menyebabkan masalah tersebut.

Akibatnya, tim menghadapi tugas debugging dan jaminan kualitas yang lebih menantang, tingkat kegagalan yang lebih tinggi dan rilis kode yang lebih lambat; pengguna melihat lebih banyak kesalahan dan gangguan perangkat lunak; dan bisnis kehilangan pendapatan karena inefisiensi proses.

CI/CD mengotomatiskan sebagian besar aspek membangun, menguji, dan merilis perangkat lunak. Pipeline otomatis menerapkan integrasi, pengujian, dan penyebaran berkelanjutan di seluruh siklus pengembangan, sehingga meningkatkan efisiensi dan keandalan pipeline.

Perubahan kode secara terus menerus dan bertahap digabungkan ke dalam repositori bersama, secara otomatis dibangun dan diuji setelah setiap kali perubahan disimpan (commit), dan dengan cepat diterapkan (terkadang beberapa kali sehari). Dengan sering melakukan perubahan kecil dan commit kode, pengembang dapat mendeteksi masalah lebih awal dan melakukan rollback dengan lebih mudah.

Dengan alat CI/CD, tim segera mengetahui hasil dari setiap commit, dan semua orang dapat melihat status setiap build, pengujian, dan penerapan. Fitur-fitur ini membantu meningkatkan transparansi pipeline untuk tim pengembangan dan operasi serta menyederhanakan kolaborasi antar tim.

Integrasi berkelanjutan adalah bagian pertama dari pipeline CI/CD. Hal ini memungkinkan tim DevOps untuk terus meningkatkan aplikasi perangkat lunak mereka, menerima masukan yang konsisten, menangkap dan memperbaiki kesalahan sebelum memengaruhi kinerja perangkat lunak, dan memberikan perangkat lunak berkualitas lebih tinggi pada jadwal pengiriman yang lebih dapat diprediksi. 

Pengembang mengirim perubahan kode ke cabang bersama atau utama dari sistem kontrol versi (Git, misalnya) untuk melacak perubahan kode dari waktu ke waktu, dan pengiriman memicu alat CI untuk melakukan “build” dari basis kode yang diperbarui. Sistem CI mengambil kode baru, mengompilasinya dengan kode yang sudah ada dan mengemasnya dengan dependensi apa pun, seperti file konfigurasi, pustaka, atau sumber daya lainnya. Ini merupakan "build".

Alat pengujian menjalankan serangkaian pengujian untuk memvalidasi build sebelum “artefak build”—file yang dihasilkan yang diteruskan untuk pengujian lebih lanjut atau ke lingkungan produksi—diproduksi. Bagian selanjutnya dari pipeline ini disebut sebagai pengiriman berkelanjutan.

Pengiriman berkelanjutan (CD) dimulai di mana integrasi berkelanjutan berhenti, mengotomatiskan pengiriman aplikasi dan perubahan basis kode yang divalidasi (pembaruan, perbaikan bug, dan bahkan fitur baru) ke semua lingkungan infrastruktur yang diperlukan untuk pengujian lebih lanjut.

Build kode yang lulus pengujian integrasi dan tahap validasi dikemas dan dikirimkan ke repositori kode, yang memusatkan dan menyimpan paket kode dalam status yang dapat diterapkan. Alur kerja CD menguji perangkat lunak dan dependensi apa pun, seperti antarmuka pemrograman aplikasi (API) yang terhubung untuk mengidentifikasi dan memperbaiki kesalahan apa pun.

Kode divalidasi untuk membantu memastikan bahwa perangkat lunak bekerja di seluruh skenario, dan jika lulus validasi, sistem memberi tahu tim DevOps bahwa build terbaru tersedia. Anggota tim memiliki kesempatan untuk memberikan umpan balik tentang build baru dan membuat saran akhir untuk perubahan.

Meskipun sebagian besar proses CD otomatis, CD mengharuskan tim untuk menyetujui build secara manual sebelum mengeksposnya kepada pengguna akhir di lingkungan produksi langsung. Fitur ini memungkinkan pengembang untuk melakukan rilis perangkat lunak yang dikendalikan risiko, menjaga build siap dikirim, dan memastikan bahwa bug dan kegagalan pengujian terdeteksi sebelum produksi.

Penerapan berkelanjutan membawa CD selangkah lebih jauh dengan secara otomatis menerapkan setiap perubahan yang disetujui ke produksi, tanpa campur tangan manusia. Pada titik ini, modifikasi kode telah melewati semua protokol pengujian yang diperlukan dan oleh karena itu siap untuk proses rilis.

Ketika pembaruan kode diuji, divalidasi, dan disetujui, sistem penerapan berkelanjutan memindahkan artefak perangkat lunak ke lingkungan simulasi (staging) pra-produksi atau ke server publik dan platform distribusi (seperti toko aplikasi) tempat pengguna dapat mengaksesnya.

Alat penerapan berkelanjutan menawarkan beberapa manfaat bagi perusahaan yang ingin menskalakan aplikasi dan portofolio TI. Yang terpenting, alat tersebut mempercepat waktu ke peluncuran dengan meminimalkan waktu jeda antara pengodean dan nilai pelanggan.

Tim DevOps terkadang melengkapi layanan penerapan berkelanjutan dengan alat kontrol penerapan lainnya, seperti tanda fitur, yang memungkinkan pengembang untuk mengaktifkan atau menonaktifkan fitur tanpa memodifikasi atau menerapkan ulang kode sumber. 

Pipeline CI/CD adalah alur kerja otomatis yang merampingkan pengembangan perangkat lunak dengan mengintegrasikan, menguji, dan menerapkan kode secara terus menerus. Proses memindahkan kode sepenuhnya—dari pengembangan ke produksi—membantu memastikan bahwa pembaruan perangkat lunak dikirimkan dengan cepat, aman, dan andal.

Pipeline CI/CD umumnya terdiri dari beberapa proses dan tahapan otomatis di sepanjang siklus rilis perangkat lunak, termasuk:

CI/CD adalah bagian mendasar dari DevOps, tetapi hanya mewakili sebagian dari praktik DevOps.

DevOps adalah kerangka kerja yang menguraikan proses pengembangan perangkat lunak dan pergeseran budaya menuju koordinasi dan kolaborasi antara tim pengembangan perangkat lunak dan tim operasi TI. Secara tradisional, kedua kelompok ini beroperasi secara terpisah satu sama lain. Dalam metodologi DevOps, mereka bekerja sebagai tim kolaboratif dengan seperangkat alat dan praktik bersama.

Pendekatan DevOps mendorong tanggung jawab bersama, kolaborasi berkelanjutan, dan pengoptimalan proses. Selain pipeline pengiriman perangkat lunak, ruang lingkupnya mencakup infrastruktur dan rekayasa platform, keamanan, kepatuhan, tata kelola, dan manajemen risiko.

Sebaliknya, CI/CD secara khusus berfokus pada pembangunan, pengujian, penerapan, dan peningkatan aplikasi perangkat lunak. Mengotomatiskan proses ini akan meningkatkan DevOps dengan membantu organisasi meningkatkan kualitas kode, cakupan pengujian, manajemen ketergantungan dan metrik observabilitas, dan pada akhirnya, meningkatkan frekuensi rilis perangkat lunak yang lebih kuat.

Keamanan CI/CD memerlukan praktik, proses, dan teknologi yang dapat menggabungkan langkah-langkah keamanan dan kepatuhan di seluruh pipeline.

Dalam model pengembangan tradisional, keamanan sering disertakan pada perangkat lunak pada akhir siklus pengembangan. Tetapi kemajuan platform cloud, arsitektur layanan mikro, dan aplikasi dalam kontainer telah mengubah (dan mempercepat) siklus pengembangan perangkat lunak, membuat strategi keamanan tradisional menjadi usang.

Memasuki DevSecOps.

DevSecOps— singkatan dari pengembangan (development), keamanan (security), dan operasi (operation)—menggabungkan arsitek dan insinyur keamanan siber ke dalam strategi DevOps untuk memastikan bahwa setiap komponen aplikasi dan setiap item konfigurasi dalam tumpukan secara proaktif ditambal, diamankan, dan didokumentasikan. Ini adalah praktik pengembangan yang menggeser protokol keamanan dari kanan (akhir) ke kiri (awal) pipeline pengembangan.

Dengan penerapan sejak awal (shift left), anggota tim menerapkan protokol keamanan (seperti enkripsi data, validasi input, kontrol akses berbasis peran, dan autentikasi multifaktor) sejak awal. Penerapan sejak awal memungkinkan tim DevOps untuk dengan cepat mengidentifikasi dan memperbaiki kerentanan keamanan sebelum penjahat siber dapat mengeksploitasi atau mengganggu fungsionalitas perangkat lunak. 

DevSecOps juga menggabungkan aktivitas “shift right”, memperluas praktik keamanan ke lingkungan produksi pasca-penerapan. Praktik shift-right memprioritaskan pemantauan, pengujian, dan perlindungan aplikasi pada waktu proses dalam kondisi dunia nyata. Praktik tersebut melengkapi keamanan shift-left dengan menciptakan loop umpan balik berkelanjutan di mana masalah keamanan yang ditemukan dalam produksi membantu memberikan dasar bagi fase pengembangan sebelumnya.

Ketika digunakan bersama-sama, keamanan shift-left dan shift-right memungkinkan perusahaan untuk mengintegrasikan kontrol keamanan ke dalam setiap fase siklus hidup aplikasi. Strategi keamanan ganda “shift-everywhere” ini membantu tim DevOps menerapkan pencegahan dini dan deteksi dan respons ancaman pasca-penerapan, meningkatkan postur keamanan secara keseluruhan dan mendorong peningkatan berkelanjutan.

Beberapa tren dan teknologi utama membentuk bagaimana aplikasi perangkat lunak dibangun, dikelola, dan diamankan dalam pipeline CI/CD:

Solusi CI/CD yang didukung AI dapat membantu pengembang membangun aplikasi yang lebih dinamis, lebih aman, dan lebih dapat diskalakan.

Sebuah organisasi dapat menggunakan AI dan alat ML untuk terus memantau kode perangkat lunak secara real time untuk mengidentifikasi risiko keamanan dan masalah kualitas. Jika alat ini mendeteksi anomali, alat ini dapat memicu alur kerja otomatis untuk mengatasi masalah tersebut. Alat semacam itu mungkin, misalnya, memulai ulang layanan yang gagal atau menyediakan lebih banyak sumber daya untuk mengakomodasi peningkatan permintaan pengguna.

Dan tidak seperti metode deteksi anomali berbasis ambang batas statis, model AI memanfaatkan data kontekstual dan historis untuk meramalkan potensi kegagalan pipeline sebelum terjadi. Fitur perkiraan memberdayakan tim DevOps untuk mengambil pendekatan proaktif terhadap manajemen aplikasi, mencegah waktu henti dan pemadaman sebelum terjadi.

Selain itu, algoritma ML dapat membantu tim mengoptimalkan proses pengujian berkelanjutan. Misalnya, organisasi dapat menggunakan alat ML untuk mengidentifikasi dan memperbaiki pengujian non-stabil/flaky (tes yang tidak dapat diprediksi lulus atau gagal) dan mengotomatiskan pembuatan kasus uji dengan menganalisis perubahan kode, cacat masa lalu, dan perilaku pengguna. Menurut IDC, lebih dari 90% bisnis menggunakan, bereksperimen dengan, atau memperluas penggunaan AI dan alat ML dalam praktik pengujian perangkat lunak mereka.

Penyediaan infrastruktur (yang melibatkan pengaturan perangkat keras, instalasi OS, dan konfigurasi jaringan oleh staf khusus) dapat membuat hambatan. Pengembang dapat menerapkan kode aplikasi dalam hitungan menit, tetapi mungkin perlu berjam-jam atau berhari-hari untuk menyiapkan infrastruktur.

Infrastruktur sebagai kode (IAC) adalah “praktik DevOps yang mengotomatiskan penyediaan dan pengelolaan infrastruktur TI dengan menggunakan file konfigurasi daripada proses manual.” Karena IAC memperlakukan infrastruktur sebagai perangkat lunak, infrastruktur dapat berpindah dengan kecepatan pengembangan perangkat lunak.

Tim dapat menggunakan IaC untuk membuat versi, menguji, dan menerapkan infrastruktur dengan mengimplementasikan templat dan praktik yang sama yang mereka gunakan untuk kode aplikasi. Bahkan, infrastruktur dan kode aplikasi dapat diuji, divalidasi, dan digunakan secara paralel (alih-alih menggunakan proses yang berbeda).

Pengembang dapat dengan cepat menyediakan lingkungan sandbox (lingkungan yang aman dan terisolasi di mana tim dapat menguji dan menjalankan kode tanpa memengaruhi aplikasi langsung) dan lingkungan produksi sesuai permintaan. Tim QA dapat menjalankan lingkungan pengujian secara instan, dengan konfigurasi yang konsisten. Tim operasi dapat mengotomatiskan infrastruktur untuk penerimaan pengguna dan pengujian keamanan.

Dan ketika kode baru lulus pengujian, aplikasi dan infrastrukturnya dapat digunakan bersama, menghasilkan pengiriman fitur yang lebih cepat dan penerapan yang lebih sering.

GitOps adalah kerangka kerja modern yang membantu mempercepat pengiriman perangkat lunak dengan menerapkan praktik pengodean yang berpusat pada pengembang (seperti permintaan tarik dan tinjauan kode) untuk operasi infrastruktur dan praktik konfigurasi perangkat lunak.

IaC merupakan inti dari GitOps. IAc mendefinisikan dan mengelola infrastruktur melalui kode dan menyatakan keadaan sistem yang diinginkan. Konfigurasi IaC ini sering disimpan pada platform berbasis Git (GitHub, misalnya), dengan repositori Git berfungsi sebagai sumber kebenaran tunggal untuk penyimpanan dan kontrol versi. Dalam pipeline CI/CD, agen otomatis terus memeriksa perubahan pada repositori dan menerapkan konfigurasi ke sistem yang aktif (digunakan).

Misalnya, jika tim DevOps ingin menerapkan layanan mikro baru, mereka akan membuat perubahan yang diperlukan pada file konfigurasi Git. Alat penerapan akan meninjau dan memvalidasi pembaruan sebelum menggabungkannya dengan cabang kode utama. Kemudian, pipeline CI/CD menerapkan perubahan ke infrastruktur yang aktif (klaster Kubernetes atau kontainer Docker, misalnya) sehingga lingkungan yang digunakan selalu cocok dengan definisi repositori.

GitOps memungkinkan tim untuk menerapkan pembaruan kode beberapa kali per hari dengan pengetahuan bahwa alat Git akan dengan cepat mendeteksi dan memperbaiki perbedaan apa pun. Dengan demikian, GitOps dapat membantu tim DevOps lebih mengurangi intervensi manual dan meminimalkan kompleksitas pipeline CI/CD.

Bahkan di lingkungan DevOps, banyak pengembang perangkat lunak merasa kewalahan oleh keberagaman dan volume pekerjaan yang berada di bawah lingkup mereka, terutama ketika mengharuskan mereka untuk menyelesaikan tugas manual dan berulang. Lebih dari tiga perempat pengembang menghabiskan setidaknya 30% dari waktu mereka untuk tugas-tugas yang membosankan.

Komputasi nirserver adalah lingkungan pengembangan dan model eksekusi yang mengabstraksikan pengelolaan infrastruktur tanpa para pengembang. Penyedia layanan cloud menyediakan dan mengelola semua server, komponen infrastruktur backend, dan lingkungan waktu proses, sehingga pengembang dapat fokus pada aplikasi.

Platform nirserver mendukung alur kerja berbasis peristiwa—di mana commit kode atau pull request memicu pembuatan, pengujian, dan langkah penerapan otomatis—untuk mengotomatiskan pipeline CI/CD lebih lanjut.

Sistem CI/CD menawarkan berbagai manfaat bagi organisasi, termasuk:

• Kualitas perangkat lunak yang lebih baik. Pipeline CI/CD memprioritaskan pengujian kode dan perangkat lunak berkelanjutan sehingga bug dan kerentanan terdeteksi di awal proses pengembangan dan pengembang dapat memberikan kode berkualitas lebih tinggi.

• Waktu peluncuran yang lebih cepat. CI/CD memungkinkan penerapan perangkat lunak lebih cepat yang mengurangi waktu tunggu antara commit kode dan pengiriman perangkat lunak dari minggu ke menit.

• Lebih sedikit risiko dan waktu henti. Pembaruan kode yang kecil dan sering akan membuat bug dan kesalahan lebih mudah diselesaikan, mencegah pemadaman skala besar, dan mengurangi waktu rata-rata untuk perbaikan (MTTR).

• Lebih transparan. Dasbor CI/CD dan loop masukan berkelanjutan membantu memastikan bahwa tim DevOps memiliki akses ke semua informasi yang mereka butuhkan, meningkatkan transparansi dan akuntabilitas.

• Peningkatan produktivitas. Pipeline CI/CD mengotomatiskan langkah-langkah manual yang berulang (pemecahan masalah build dan mengelola skrip penerapan, misalnya), sehingga pengembang dapat fokus pada pembaruan, fitur baru, dan aplikasi baru.