Schnellere, sicherere und konformere Releases für regulierte Kunden

Manuelle Überprüfungen verlangsamten die Lieferung

ROLLIN ist eine „kleine, aber feine Entwicklungsagentur“, wie Sam Rollin, CEO und Geschäftsführer, es ausdrückt. Das Unternehmen mit Hauptsitz in Kanada und Niederlassungen in Quebec, Halifax und einem kleinen Büro in New York ist auf die Entwicklung und Wartung digitaler Plattformen für Behörden und das Gesundheitswesen spezialisiert, wo Präzision, Compliance und Sicherheit von entscheidender Bedeutung sind.

Vor der Integration von Upsun war ROLLIN stark auf manuelle Bereitstellungsvalidierungen angewiesen. Jede Veröffentlichung erforderte zeitaufwändige Überprüfungen der Codequalität, der Schwachstellen und der Barrierefreiheit. Diese sich wiederholenden Aufgaben verlangsamten die Bereitstellung und erhöhten das Risiko menschlicher Fehler, insbesondere bei sensiblen Kundenprojekten, bei denen Fehler schwerwiegende Folgen haben können.

Das Unternehmen benötigte eine schlanke, zuverlässige Pipeline, die folgende Aufgaben erfüllen konnte:

• die Codequalität für Drupal- und PHP-Projekte konsistent validieren;
• Schwachstellen vor der Bereitstellung zu kennzeichnen;
• Barrierefreiheitsprobleme frühzeitig identifizieren, ohne kritische Releases zu verzögern;
• sich nahtlos in GitHub-Branches und Upsun-Umgebungen integrieren lässt.

Dreistufiger Ansatz für schnellere und sicherere Tests


Upsun lässt sich direkt in das GitHub-Repository integrieren und stellt Änderungen beim Programmieren in dynamisch generierten Umgebungen bereit. Entwickler können nun Änderungen unter realistischen Bedingungen, einschließlich Live-Diensten, Routing und Datenbanken, vor dem Zusammenführen testen.

Sie richten einen dreistufigen Workflow in GitHub Action ein, wobei sich jede Stufe auf einen bestimmten Aspekt der Softwarequalität konzentriert.

1. Codequalität

• Coder (PHP CodeSniffer): Setzt Drupal- und PHP-Codierungsstandards mithilfe des Drupal Coder-Pakets durch
• PHPStan: Führt statische Analysen durch, um Typfehler und Regressionen zu erkennen, bevor sie in die Produktivumgebung gelangen

Diese automatisierten Prüfungen werden bei jedem Push auf ihre Entwicklungs-, Staging- und Hauptzweige ausgeführt und helfen Entwicklern, eine konsistente Codequalität aufrechtzuerhalten und gleichzeitig den Aufwand für die Überprüfung zu reduzieren.

2. Sicherheit

• Composer-Audit: Identifiziert anfällige Abhängigkeiten.
• OWASP Dependency-Check: Fügt eine konfigurierbare zweite Ebene der Sicherheitsüberprüfung für alle Pakete hinzu.

Das Team führt beide Tools nacheinander in der Sicherheitsphase aus. Außerdem fügen sie eine optionale E-Mail-Benachrichtigung hinzu, die bei einem Workflow-Fehler ausgelöst wird, um das Team zu alarmieren.

3. Barrierefreiheit und Compliance

• Pa11y: Läuft headless über Puppeteer und Chrome, um die Upsun-Staging-Umgebung zu crawlen und berichtet über Barrierefreiheitsprobleme, Kontrast, ARIA-Labels und Formularsemantik.

Barrierefreiheit ist für die Kunden von ROLLIN aus dem öffentlichen Sektor von entscheidender Bedeutung. Diese Berichte bieten sofortige Transparenz, ohne die Bereitstellung zu blockieren.

„Die Barrierefreiheitsprüfung stoppt die Bereitstellung nicht“, erklärte Rollin. „Aber sie verschafft uns einen guten Überblick. Für Entwickler ist es gut zu wissen, was verbessert werden kann.“

Alles mit Upsun verbinden


ROLLIN hat sein GitHub-Repository so konfiguriert, dass GitHub Actions vor jeder Bereitstellung auf Upsun ausgeführt werden. Das Routing und die Dienste jedes Projekts sind im Code hinterlegt, wodurch jede Umgebung reproduzierbar und versionskontrolliert bleibt. 

Wenn die Actions-Pipeline erfolgreich durchlaufen wurde, wird die Upsun-Bereitstellung unabhängig von GitHub Actions ausgeführt. Sie zielt auf die entsprechende Umgebung ab und generiert eine Überprüfungs-URL für die Beteiligten. 

Diese klare Trennung bietet dem Team zuverlässige Pre-Deployment-Gates, ohne die Deployments an den CI-Job-Status zu koppeln. Sam Rollin drückt es so aus: „Diese dynamische Umgebung ist wirklich leistungsstark. Man kann diese URL an einen Kunden weitergeben und ihm konkrete Ergebnisse zeigen.“ Dies passt zu der Art und Weise, wie Upsun in Git-Workflows integriert ist: verzweigungsbasierte Überprüfungen, Live-URLs und produktionsähnliche Vorschauen, sodass Teams Änderungen vor dem Merge unter realistischen Bedingungen testen können.

Geschwindigkeit, Sicherheit und Wiederholbarkeit


Mit Upsun, das in den CI- und CD-Flow eingebettet ist, hat ROLLIN wiederholte Überprüfungen in ein leichtgewichtiges und zuverlässiges Framework verwandelt. Automatisierte Standards und Audits reduzieren den manuellen Aufwand und verringern die Wahrscheinlichkeit menschlicher Fehler. Entwickler erhalten schnelles Feedback zu Qualität, Sicherheit und Barrierefreiheit von GitHub Actions. Upsun-Überprüfungs-URLs verbessern die Zusammenarbeit und die Freigabe. 

Konsistente Überprüfungen werden auf den für Releases relevanten Zweigen durchgeführt, insbesondere auf den Zweigen „develop“, „staging“ und „main“ in diesem Workflow. Dank der YAML-basierten Einrichtung und den open source-Tools lässt sich das Muster leicht in neuen Drupal-Projekten wiederverwenden.

Skalierung von Vertrauen und Einfachheit


ROLLIN verfeinert seinen Workflow kontinuierlich und passt kleine Variationen an die Anwendungsfälle der einzelnen Kunden an, während der Kern-Workflow einfach und zuverlässig bleibt.

Jede erfolgreiche Bereitstellung erzeugt eine Live-Upsun-Umgebung mit einer gemeinsam nutzbaren URL für Tests und Kundenüberprüfungen. Das Team kann schnell iterieren, ohne Abstriche bei der Qualität zu machen. Neue Drupal-Projekte starten auf derselben Grundlage von Automatisierung, Zuverlässigkeit und Vertrauen. 

Rollin fasste es so zusammen: „Alles läuft, es wird automatisch bereitgestellt, und genau da liegt der Zauber.“