現(xiàn)在，美國國防部 （DoD） 內(nèi)的聯(lián)邦機構(gòu)比以往任何時候都更需要開發(fā)與傳統(tǒng)技術(shù)兼容的軟件功能，同時維護和滿足保護專有代碼和網(wǎng)絡(luò)的嚴格安全需求。雖然這些指導(dǎo)方針對成功至關(guān)重要，但各機構(gòu)必須迎接挑戰(zhàn)，積極實施新技術(shù)并保護其軟件供應(yīng)鏈，而不是等待采取行動。

盡管遺留系統(tǒng)成本高昂且容易受到惡意網(wǎng)絡(luò)攻擊，但美國國防部 （DoD） 內(nèi)的政府機構(gòu)必須有效且主動地彌合傳統(tǒng)和現(xiàn)代技術(shù)框架之間的差距。從舊系統(tǒng)到現(xiàn)代系統(tǒng)的硬性、反動的轉(zhuǎn)變可能會增加安全風險并暴露漏洞。

作為這種轉(zhuǎn)變的一部分，機構(gòu)應(yīng)考慮從預(yù)制件和DIY開發(fā)環(huán)境轉(zhuǎn)向更成熟的選項。開源 DevOps ［結(jié)合軟件開發(fā) （Dev） 和 IT 運營 （Ops） 的一組實踐的術(shù)語］ 平臺可以在整個軟件開發(fā)生命周期 （SDLC） 中實現(xiàn)持續(xù)的安全掃描，可以成為簡化轉(zhuǎn)換、減少切換次數(shù)并有效地連接到舊系統(tǒng)和新系統(tǒng)等有價值的替代方案，使其更具成本效益和安全性。

公共部門的首席信息官們需要努力尋找實施軟件供應(yīng)鏈安全的解決方案，以主動保護他們的機構(gòu)，而不是等待最終指導(dǎo)。這些進展將使各機構(gòu)內(nèi)的IT和開發(fā)團隊能夠繼續(xù)完善和調(diào)整其方法，以滿足最佳做法。

為可持續(xù)轉(zhuǎn)型奠定基礎(chǔ)

在經(jīng)歷現(xiàn)代化過程和實施新的安全措施時，公共部門內(nèi)的組織必須針對與商業(yè)企業(yè)不同的獨特約束和規(guī)范進行調(diào)整。公共部門組織必須加快速度，滿足合規(guī)性要求，并向?qū)徲媶T證明他們正在按照任何配額或合同交付。

現(xiàn)代化事業(yè)更加復(fù)雜、雄心勃勃，有時甚至是痛苦的，因為公共部門機構(gòu)對安全性、合規(guī)性和法律法規(guī)以及采購法律和政策的要求越來越高。

在公共部門的時間、金錢和資源限制下，開拓新的流程、技術(shù)和方法可能特別具有挑戰(zhàn)性。團隊經(jīng)常面臨壓力，需要將功能擴展到用戶的整個功能生態(tài)系統(tǒng)，管理授權(quán)的法律、法規(guī)和合規(guī)性控制，同時加快軟件部署。

為了確保安全性貫穿整個軟件供應(yīng)鏈，人員、流程和技術(shù)需要協(xié)同工作，開發(fā)經(jīng)過眾多安全人員評估的安全代碼，構(gòu)建開放透明的流程，并持續(xù)測試代碼。

借助 DevOps 平臺，機構(gòu)可以通過端到端安全性有效保護軟件供應(yīng)鏈，幫助保護多個方面，包括保護內(nèi)部代碼和外部源，同時自動實現(xiàn)連續(xù)的軟件合規(guī)性要求。

例如，像海軍這樣使用傳統(tǒng)艦載系統(tǒng)的機構(gòu)仍然需要能夠更新操作能力，而不會使現(xiàn)有的遺留系統(tǒng)緊張，并在不同的軟件版本之間平穩(wěn)過渡。

避免供應(yīng)商鎖定

政府機構(gòu)在實施單一平臺時遇到的主要問題稱為供應(yīng)商鎖定，即組織無法從單個供應(yīng)商過渡或引入其他解決方案以防止單點故障。大多數(shù)機構(gòu)都在努力防止供應(yīng)商鎖定，因為它會給組織帶來安全風險。在尋找DevOps解決方案時，機構(gòu)應(yīng)確保該平臺使他們能夠集成更適合其需求的特定工具，從而消除任何供應(yīng)商鎖定，并使組織能夠使用滿足其特定功能需求的工具。

要開始現(xiàn)代化過程，機構(gòu)必須首先評估其在DevOps成熟度范圍內(nèi)的位置，并了解加快將關(guān)鍵任務(wù)功能部署到現(xiàn)場所需的要素。一旦機構(gòu)有了商定的基線，他們就可以開始確定前進的最佳戰(zhàn)略，從明確定義的目標和衡量績效的過程開始。

DevOps 平臺有助于實時、集中的通信和協(xié)作，從而打破孤島并消除開發(fā)、運營和安全團隊之間的順序交接，從而交付更好、更快的應(yīng)用程序。DevOps 平臺的一些關(guān)鍵功能包括衡量性能、持續(xù)集成/持續(xù)交付 （CI/CD） 管道狀況和內(nèi)置安全性。通過在開發(fā)過程中實施安全掃描程序，機構(gòu)可以在提交代碼時掃描每一行代碼，從而使開發(fā)人員能夠在漏洞被推送之前識別和修復(fù)漏洞。此過程升級了左移方法——持續(xù)解決安全問題，以便所有產(chǎn)品在設(shè)計上都是安全的。

實現(xiàn)軟件工廠模型

作為單個應(yīng)用程序交付的完整 DevSecOps 平臺可以用作集成的、開箱即用的現(xiàn)代軟件開發(fā)工廠。這是快速構(gòu)建、測試和交付應(yīng)用程序的最有效且易于管理的途徑，無需管理數(shù)十個單獨的工具和自定義集成。有效的軟件工廠在整個 DevSecOps 生命周期中具有一個接口、一個用戶模型和一個數(shù)據(jù)模型。

集成軟件工廠還可以為集中式異步協(xié)作提供單一事實來源，從而幫助團隊滿足合規(guī)性要求。工廠的端到端代碼質(zhì)量視圖可實現(xiàn)更好的質(zhì)量、更安全的代碼和更快的交付，以及更少的開發(fā)延遲和更準時的發(fā)布。

公共部門的軟件工廠必須滿足以下要求：

協(xié)作：實現(xiàn)整個軟件開發(fā)團隊之間的共享和協(xié)調(diào);促進記錄在案的、透明的同行評審和代碼更改的批準。提供來自生產(chǎn)環(huán)境中應(yīng)用程序的反饋和見解，使開發(fā)人員能夠?qū)崟r檢測問題并改進應(yīng)用程序。

自動化：自動化應(yīng)用程序從開發(fā)到部署和交付所需的步驟，以及每次代碼更改完成的 CI 開發(fā)任務(wù)，并將自動化測試和安全掃描納入開發(fā)過程。

文檔：通過測試、驗證和部署來記錄和跟蹤每個應(yīng)用程序的代碼和庫。

測試：使交付團隊能夠捕獲、討論、確定優(yōu)先級和定義新的要求和用例。利用容器、容器化和云，并支持按需動態(tài)測試環(huán)境，供開發(fā)人員和團隊進行測試。

軍事環(huán)境中的軟件工廠

使用一些不同的工具，或試圖將過時的技術(shù)與新興工具連接起來，可能會使在軍事環(huán)境中實現(xiàn)任務(wù)目標變得特別困難。這種方法可能會減慢部署時間，創(chuàng)建孤立的團隊，并對溝通和協(xié)作產(chǎn)生技術(shù)障礙。此外，從一開始就在沒有安全平臺的情況下開發(fā)的項目可能會錯過網(wǎng)絡(luò)安全漏洞，這意味著開發(fā)人員和安全分析師必須花費額外的時間來修復(fù)和恢復(fù)數(shù)據(jù)，這會增加項目成本。

自從切換到 GitLab 的單一 DevOps 平臺以來，一家軍事機構(gòu)發(fā)現(xiàn)成本節(jié)約的結(jié)果有所增加，并節(jié)省了 100 年的編程時間。通過減少其工具鏈中的大量工具并將其集成到具有內(nèi)置安全性和合規(guī)性的單一平臺中，該機構(gòu)能夠?qū)⑵滠浖l(fā)布時間從標準的三到八個月縮短到僅一周。

展望未來

快速完成任務(wù)是整個公共部門機構(gòu)的一個關(guān)鍵目標，但似乎與嚴格的安全和合規(guī)措施不一致。數(shù)字化現(xiàn)代化并不像一夜之間使用一套全新的工具那么簡單;這是一個隨著技術(shù)不斷發(fā)展的道路上的許多顛簸而發(fā)展的過程。向數(shù)字化未來的轉(zhuǎn)變需要謹慎處理遺留系統(tǒng)和新興技術(shù)。

單一 DevOps 平臺是彌合當今技術(shù)與未來進步之間差距的有效工具，同時仍保持安全。也許領(lǐng)導(dǎo)者最基本的步驟是確保文化思維方式和流程的轉(zhuǎn)變與新技術(shù)保持一致。執(zhí)行和記錄流程變更，將這些變更傳達給團隊成員，并創(chuàng)建一個激勵人員支持的環(huán)境至關(guān)重要。技術(shù)重組必須始終反映文化轉(zhuǎn)型，以免機構(gòu)經(jīng)歷投資浪費、功能失調(diào)和長期采用失敗。

審核編輯：郭婷