Continuous Integration und Continuous Deployment (CI/CD) sind heute zentrale Bausteine moderner Softwareentwicklung. Doch während ihr technischer Nutzen vielfach bekannt ist, bleibt ihr geschäftlicher Mehrwert in vielen Unternehmen ungenutzt. In dieser Artikelserie stellen wir Vorteile und Herausforderung von modernen CI/CD Pipelines vor.
Häufig wird CI/CD noch als reines Entwickler-Tool betrachtet, eine technische Massnahme, die Komplexität verursacht, aber keinen direkten Beitrag zur Wertschöpfung leistet. Diese Sichtweise ist nicht nur überholt, sondern betriebswirtschaftlich riskant, da einheitliche CI/CD Pipelines nicht nur Kosten einsparen, sondern auch Risiken reduzieren können.
Legacy-Prozesse: Ineffizient, teuer und fehleranfällig
In klassischen Entwicklungsmodellen kann ein einfacher Sicherheitspatch schnell zur operativen Herausforderung werden. Der Aufwand für manuelles Deployment, fehlende Automatisierung und fragmentiertes Wissen führt regelmässig zu:
- verzögerten Releases, insbesondere bei kritischen Fixes, wie zuletzt bei den
npmSupply-Chain-Angriffen - hoher Abhängigkeit von Einzelpersonen, oftmals kümmert sich nur eine Person im Team um den Build-Prozess
- fehlender Nachvollziehbarkeit bei Fehlern oder Incidents
- ineffizientem Ressourceneinsatz in Operations und Entwicklung
Solche Prozessdefizite haben direkte Auswirkungen auf Innovationsgeschwindigkeit, Time-to-Market und Risikoexposition.
Bildlegende: Pipeline der Kategorie «Hat sich bewährt» (Symbolbild)
CI/CD neu gedacht: Infrastruktur als Produkt
Bei Löwenfels haben wir CI/CD nicht als Tooling, sondern als Plattform verstanden: Ein strategisches Produkt, das operativen Mehrwert schafft und Wachstum skalierbar macht.
Die Architektur der Pipelines folgt dabei vier zentralen Prinzipien:
1. Transparenz und Auditierbarkeit
Neben jeder Codeänderung wird jeder Build, jedes Deployment und jede Konfigurationsänderung via commits und Merge-Requests in GitLab realisiert. Dies schafft nicht nur Compliance-Sicherheit, sondern verkürzt im Incident-Fall die Root-Cause-Analyse signifikant, da der Stand der Produktion jederzeit in der Versionskontrolle überprüfbar ist.
Änderungen, gerade solche am Buildprozess, sind jederzeit technisch als auch regulatorisch nachvollziehbar.
2. Standardisierte Qualitätssicherung
Code-Qualität, Security-Checks und automatisierte Tests sind in allen Pipelines verbindlich integriert:
- Statische Codeanalyse via sonarqube
- CVE-Scanning bei jedem Build
- Automatisierte Unit-, Regressions-, Integrations sowie UI-Tests
Das reduziert technische Schulden frühzeitig und verhindert, dass potenzielle Schwachstellen den Weg in produktive Systeme finden.
3. Security by Design
Sicherheit ist Bestandteil der Pipeline, nicht ein nachgelagerter manueller Review-Prozess. Veraltete Abhängigkeiten, bekannte Schwachstellen und Fehlkonfigurationen werden automatisiert erkannt und durch renovate automatisch aktualisiert. Dies reduziert sowohl die Angriffsfläche als auch die manuellen Aufwände für die Aktualisierungen.
Damit auch Schwachstellen identifiziert werden, die bereits im Cluster installierte Artefakte betreffen, hilft Trivy diese rechtzeitig zu erkennen.
4. Operationalisierung von Best Practices
Um dies für alle Projekte sicherzustellen, haben wir bei Löwenfels die Anlage neuer Projekte über den project-creatorautomatisiert:
- Automatische Erstellung des GitLab-Repositories mit einheitlicher CI/CD-Pipeline
- Buildprozess in abgeschotteten Kubernetes namespaces
- Automatische Integration in Graylog (Logging/Monitoring), SonarQube (Codequalität), Sentry (Fehlertracking und Performancemonitoring) und Grafana (Systemmonitoring) inkl. der Berechtigungen
- Vollautomatisierte Bereitstellung der Deployments in Kubernetes inklusive Namespace-Management in Rancher für Integrationstests
Dies minimiert die Initialaufwände, eliminiert Onboarding-Reibung und stellt sicher, dass neue Teams sofort mit unseren Standards arbeiten können.
Bildlegende: Moderne Pipeline mit automatischen Deployment
Geschäftlicher Nutzen: Skalierbare Effizienz statt punktueller Optimierung
Die Einführung einer unternehmensweiten CI/CD-Plattform zahlt sich auf mehreren Ebenen aus:
- Die Setup-Zeit für neue Projekte, die früher mehrere Stunden bis zu ganzen Tagen in Anspruch genommen hat, reduziert sich auf unter 5 Minuten
- Deployment in unsere eigene Umgebung benötigt keine manuellen Schritte mehr, bei der Installation ausserhalb unserer IT erfolgt die Bereitstellung der Artefakte automatisch über Container Images, manuelle Schritte sind allenfalls bei dem Betreiber noch notwendig
- Die Onboarding-Zeit für zusätzliche Entwickler ist auf die fachlichen Aspekte reduziert
- Durch das automatisierte Handling von Updates entfallen die früher manuell durchgeführten Aktualisierungen von Bibliotheken
- Darüber hinaus ermöglichen Branch-spezifische Testumgebungen vollständig isolierte Feature-Tests
- Die versionierten Builds sind reproduzierbar: Auch Jahre später können die identischen Artefakte gebaut werden, selbst wenn die ursprünglichen Artefakte schon längst gelöscht sein sollten
- Durch die On-Premise Nutzung von Open-Source Tools besteht weder ein Vendor-Lock-In noch können explodierende Kosten durch eine falsche Pipeline Konfiguration entstehen
Automatisierung als Risikoreduzierung: Vom herstellerseitigen Security Fix zur Produktion in einer Stunde
Tools wie Renovate übernehmen automatisiert das Management von Abhängigkeiten. Sicherheitsupdates erfolgen kontinuierlich, sofern die Testabdeckung gegeben ist. Ein Risiko durch veraltete Libraries oder ungeprüfte Upgrades entfällt damit weitestgehend. Zwischen der Verfügbarkeit eines CVE-Fixes und dem Release eines neuen Deployments vergeht nun im Schnitt eine Stunde. Und dies ohne Aufwände bei dem Entwicklungsteam.
Durch ein granular gesteuertes Berechtigungskonzept haben die Teams Zugriff nur auf die Informationen und Systeme, die für ihre Arbeit relevant sind. Das schafft Übersicht, reduziert das Risiko unautorisierter Zugriffe und verbessert die operative Steuerbarkeit.
Fazit: CI/CD ist kein nebenläufiges IT-Projekt sondern ein strategisches Asset
Moderne CI/CD-Plattformen liefern weit mehr als Automatisierung des Buildprozesses. Sie schaffen ein verlässliches, sicheres und skalierbares Fundament für Produktentwicklung und Innovation. Die Softwareentwicklung ist der wesentliche Teil der Wertschöpfungskette, daher müssen deren Ergebnisse schnell, sicher und nachvollziehbar in Betrieb gehen.
In den nächsten Artikeln dieser Serie beleuchten wir einzelne Architekturkomponenten und deren konkrete Auswirkungen auf Skalierbarkeit, Effizienz und Governance:
- Reproduzierbare Builds: Grundlage für langfristige Wartbarkeit
- Cleanup-Strategien: Automatisiertes Ressourcenmanagement
- Buildoptimierung & CI/CD in Kubernetes: Optimierung der Pipelines und Deployments
- Monitoring & Incident Response: Schnelle Reaktion bei minimalem Aufwand
CI/CD ist kein Selbstzweck. Es ist die Voraussetzung für nachhaltige Skalierung.
