現(xiàn)在，美國(guó)國(guó)防部 （DoD） 內(nèi)的聯(lián)邦機(jī)構(gòu)比以往任何時(shí)候都更需要開發(fā)與傳統(tǒng)技術(shù)兼容的軟件功能，同時(shí)維護(hù)和滿足保護(hù)專有代碼和網(wǎng)絡(luò)的嚴(yán)格安全需求。雖然這些指導(dǎo)方針對(duì)成功至關(guān)重要，但各機(jī)構(gòu)必須迎接挑戰(zhàn)，積極實(shí)施新技術(shù)并保護(hù)其軟件供應(yīng)鏈，而不是等待采取行動(dòng)。

盡管遺留系統(tǒng)成本高昂且容易受到惡意網(wǎng)絡(luò)攻擊，但美國(guó)國(guó)防部 （DoD） 內(nèi)的政府機(jī)構(gòu)必須有效且主動(dòng)地彌合傳統(tǒng)和現(xiàn)代技術(shù)框架之間的差距。從舊系統(tǒng)到現(xiàn)代系統(tǒng)的硬性、反動(dòng)的轉(zhuǎn)變可能會(huì)增加安全風(fēng)險(xiǎn)并暴露漏洞。

作為這種轉(zhuǎn)變的一部分，機(jī)構(gòu)應(yīng)考慮從預(yù)制件和DIY開發(fā)環(huán)境轉(zhuǎn)向更成熟的選項(xiàng)。開源 DevOps ［結(jié)合軟件開發(fā) （Dev） 和 IT 運(yùn)營(yíng) （Ops） 的一組實(shí)踐的術(shù)語(yǔ)］ 平臺(tái)可以在整個(gè)軟件開發(fā)生命周期 （SDLC） 中實(shí)現(xiàn)持續(xù)的安全掃描，可以成為簡(jiǎn)化轉(zhuǎn)換、減少切換次數(shù)并有效地連接到舊系統(tǒng)和新系統(tǒng)等有價(jià)值的替代方案，使其更具成本效益和安全性。

公共部門的首席信息官們需要努力尋找實(shí)施軟件供應(yīng)鏈安全的解決方案，以主動(dòng)保護(hù)他們的機(jī)構(gòu)，而不是等待最終指導(dǎo)。這些進(jìn)展將使各機(jī)構(gòu)內(nèi)的IT和開發(fā)團(tuán)隊(duì)能夠繼續(xù)完善和調(diào)整其方法，以滿足最佳做法。

為可持續(xù)轉(zhuǎn)型奠定基礎(chǔ)

在經(jīng)歷現(xiàn)代化過(guò)程和實(shí)施新的安全措施時(shí)，公共部門內(nèi)的組織必須針對(duì)與商業(yè)企業(yè)不同的獨(dú)特約束和規(guī)范進(jìn)行調(diào)整。公共部門組織必須加快速度，滿足合規(guī)性要求，并向?qū)徲?jì)員證明他們正在按照任何配額或合同交付。

現(xiàn)代化事業(yè)更加復(fù)雜、雄心勃勃，有時(shí)甚至是痛苦的，因?yàn)楣膊块T機(jī)構(gòu)對(duì)安全性、合規(guī)性和法律法規(guī)以及采購(gòu)法律和政策的要求越來(lái)越高。

在公共部門的時(shí)間、金錢和資源限制下，開拓新的流程、技術(shù)和方法可能特別具有挑戰(zhàn)性。團(tuán)隊(duì)經(jīng)常面臨壓力，需要將功能擴(kuò)展到用戶的整個(gè)功能生態(tài)系統(tǒng)，管理授權(quán)的法律、法規(guī)和合規(guī)性控制，同時(shí)加快軟件部署。

為了確保安全性貫穿整個(gè)軟件供應(yīng)鏈，人員、流程和技術(shù)需要協(xié)同工作，開發(fā)經(jīng)過(guò)眾多安全人員評(píng)估的安全代碼，構(gòu)建開放透明的流程，并持續(xù)測(cè)試代碼。

借助 DevOps 平臺(tái)，機(jī)構(gòu)可以通過(guò)端到端安全性有效保護(hù)軟件供應(yīng)鏈，幫助保護(hù)多個(gè)方面，包括保護(hù)內(nèi)部代碼和外部源，同時(shí)自動(dòng)實(shí)現(xiàn)連續(xù)的軟件合規(guī)性要求。

例如，像海軍這樣使用傳統(tǒng)艦載系統(tǒng)的機(jī)構(gòu)仍然需要能夠更新操作能力，而不會(huì)使現(xiàn)有的遺留系統(tǒng)緊張，并在不同的軟件版本之間平穩(wěn)過(guò)渡。

避免供應(yīng)商鎖定

政府機(jī)構(gòu)在實(shí)施單一平臺(tái)時(shí)遇到的主要問(wèn)題稱為供應(yīng)商鎖定，即組織無(wú)法從單個(gè)供應(yīng)商過(guò)渡或引入其他解決方案以防止單點(diǎn)故障。大多數(shù)機(jī)構(gòu)都在努力防止供應(yīng)商鎖定，因?yàn)樗鼤?huì)給組織帶來(lái)安全風(fēng)險(xiǎn)。在尋找DevOps解決方案時(shí)，機(jī)構(gòu)應(yīng)確保該平臺(tái)使他們能夠集成更適合其需求的特定工具，從而消除任何供應(yīng)商鎖定，并使組織能夠使用滿足其特定功能需求的工具。

要開始現(xiàn)代化過(guò)程，機(jī)構(gòu)必須首先評(píng)估其在DevOps成熟度范圍內(nèi)的位置，并了解加快將關(guān)鍵任務(wù)功能部署到現(xiàn)場(chǎng)所需的要素。一旦機(jī)構(gòu)有了商定的基線，他們就可以開始確定前進(jìn)的最佳戰(zhàn)略，從明確定義的目標(biāo)和衡量績(jī)效的過(guò)程開始。

DevOps 平臺(tái)有助于實(shí)時(shí)、集中的通信和協(xié)作，從而打破孤島并消除開發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的順序交接，從而交付更好、更快的應(yīng)用程序。DevOps 平臺(tái)的一些關(guān)鍵功能包括衡量性能、持續(xù)集成/持續(xù)交付 （CI/CD） 管道狀況和內(nèi)置安全性。通過(guò)在開發(fā)過(guò)程中實(shí)施安全掃描程序，機(jī)構(gòu)可以在提交代碼時(shí)掃描每一行代碼，從而使開發(fā)人員能夠在漏洞被推送之前識(shí)別和修復(fù)漏洞。此過(guò)程升級(jí)了左移方法——持續(xù)解決安全問(wèn)題，以便所有產(chǎn)品在設(shè)計(jì)上都是安全的。

實(shí)現(xiàn)軟件工廠模型

作為單個(gè)應(yīng)用程序交付的完整 DevSecOps 平臺(tái)可以用作集成的、開箱即用的現(xiàn)代軟件開發(fā)工廠。這是快速構(gòu)建、測(cè)試和交付應(yīng)用程序的最有效且易于管理的途徑，無(wú)需管理數(shù)十個(gè)單獨(dú)的工具和自定義集成。有效的軟件工廠在整個(gè) DevSecOps 生命周期中具有一個(gè)接口、一個(gè)用戶模型和一個(gè)數(shù)據(jù)模型。

集成軟件工廠還可以為集中式異步協(xié)作提供單一事實(shí)來(lái)源，從而幫助團(tuán)隊(duì)滿足合規(guī)性要求。工廠的端到端代碼質(zhì)量視圖可實(shí)現(xiàn)更好的質(zhì)量、更安全的代碼和更快的交付，以及更少的開發(fā)延遲和更準(zhǔn)時(shí)的發(fā)布。

公共部門的軟件工廠必須滿足以下要求：

協(xié)作：實(shí)現(xiàn)整個(gè)軟件開發(fā)團(tuán)隊(duì)之間的共享和協(xié)調(diào);促進(jìn)記錄在案的、透明的同行評(píng)審和代碼更改的批準(zhǔn)。提供來(lái)自生產(chǎn)環(huán)境中應(yīng)用程序的反饋和見解，使開發(fā)人員能夠?qū)崟r(shí)檢測(cè)問(wèn)題并改進(jìn)應(yīng)用程序。

自動(dòng)化：自動(dòng)化應(yīng)用程序從開發(fā)到部署和交付所需的步驟，以及每次代碼更改完成的 CI 開發(fā)任務(wù)，并將自動(dòng)化測(cè)試和安全掃描納入開發(fā)過(guò)程。

文檔：通過(guò)測(cè)試、驗(yàn)證和部署來(lái)記錄和跟蹤每個(gè)應(yīng)用程序的代碼和庫(kù)。

測(cè)試：使交付團(tuán)隊(duì)能夠捕獲、討論、確定優(yōu)先級(jí)和定義新的要求和用例。利用容器、容器化和云，并支持按需動(dòng)態(tài)測(cè)試環(huán)境，供開發(fā)人員和團(tuán)隊(duì)進(jìn)行測(cè)試。

軍事環(huán)境中的軟件工廠

使用一些不同的工具，或試圖將過(guò)時(shí)的技術(shù)與新興工具連接起來(lái)，可能會(huì)使在軍事環(huán)境中實(shí)現(xiàn)任務(wù)目標(biāo)變得特別困難。這種方法可能會(huì)減慢部署時(shí)間，創(chuàng)建孤立的團(tuán)隊(duì)，并對(duì)溝通和協(xié)作產(chǎn)生技術(shù)障礙。此外，從一開始就在沒(méi)有安全平臺(tái)的情況下開發(fā)的項(xiàng)目可能會(huì)錯(cuò)過(guò)網(wǎng)絡(luò)安全漏洞，這意味著開發(fā)人員和安全分析師必須花費(fèi)額外的時(shí)間來(lái)修復(fù)和恢復(fù)數(shù)據(jù)，這會(huì)增加項(xiàng)目成本。

自從切換到 GitLab 的單一 DevOps 平臺(tái)以來(lái)，一家軍事機(jī)構(gòu)發(fā)現(xiàn)成本節(jié)約的結(jié)果有所增加，并節(jié)省了 100 年的編程時(shí)間。通過(guò)減少其工具鏈中的大量工具并將其集成到具有內(nèi)置安全性和合規(guī)性的單一平臺(tái)中，該機(jī)構(gòu)能夠?qū)⑵滠浖l(fā)布時(shí)間從標(biāo)準(zhǔn)的三到八個(gè)月縮短到僅一周。

展望未來(lái)

快速完成任務(wù)是整個(gè)公共部門機(jī)構(gòu)的一個(gè)關(guān)鍵目標(biāo)，但似乎與嚴(yán)格的安全和合規(guī)措施不一致。數(shù)字化現(xiàn)代化并不像一夜之間使用一套全新的工具那么簡(jiǎn)單;這是一個(gè)隨著技術(shù)不斷發(fā)展的道路上的許多顛簸而發(fā)展的過(guò)程。向數(shù)字化未來(lái)的轉(zhuǎn)變需要謹(jǐn)慎處理遺留系統(tǒng)和新興技術(shù)。

單一 DevOps 平臺(tái)是彌合當(dāng)今技術(shù)與未來(lái)進(jìn)步之間差距的有效工具，同時(shí)仍保持安全。也許領(lǐng)導(dǎo)者最基本的步驟是確保文化思維方式和流程的轉(zhuǎn)變與新技術(shù)保持一致。執(zhí)行和記錄流程變更，將這些變更傳達(dá)給團(tuán)隊(duì)成員，并創(chuàng)建一個(gè)激勵(lì)人員支持的環(huán)境至關(guān)重要。技術(shù)重組必須始終反映文化轉(zhuǎn)型，以免機(jī)構(gòu)經(jīng)歷投資浪費(fèi)、功能失調(diào)和長(zhǎng)期采用失敗。

審核編輯：郭婷