現在，美國國防部 （DoD） 內的聯(lián)邦機構比以往任何時候都更需要開發(fā)與傳統(tǒng)技術兼容的軟件功能，同時維護和滿足保護專有代碼和網絡的嚴格安全需求。雖然這些指導方針對成功至關重要，但各機構必須迎接挑戰(zhàn)，積極實施新技術并保護其軟件供應鏈，而不是等待采取行動。

盡管遺留系統(tǒng)成本高昂且容易受到惡意網絡攻擊，但美國國防部 （DoD） 內的政府機構必須有效且主動地彌合傳統(tǒng)和現代技術框架之間的差距。從舊系統(tǒng)到現代系統(tǒng)的硬性、反動的轉變可能會增加安全風險并暴露漏洞。

作為這種轉變的一部分，機構應考慮從預制件和DIY開發(fā)環(huán)境轉向更成熟的選項。開源 DevOps ［結合軟件開發(fā) （Dev） 和 IT 運營 （Ops） 的一組實踐的術語］ 平臺可以在整個軟件開發(fā)生命周期 （SDLC） 中實現持續(xù)的安全掃描，可以成為簡化轉換、減少切換次數并有效地連接到舊系統(tǒng)和新系統(tǒng)等有價值的替代方案，使其更具成本效益和安全性。

公共部門的首席信息官們需要努力尋找實施軟件供應鏈安全的解決方案，以主動保護他們的機構，而不是等待最終指導。這些進展將使各機構內的IT和開發(fā)團隊能夠繼續(xù)完善和調整其方法，以滿足最佳做法。

為可持續(xù)轉型奠定基礎

在經歷現代化過程和實施新的安全措施時，公共部門內的組織必須針對與商業(yè)企業(yè)不同的獨特約束和規(guī)范進行調整。公共部門組織必須加快速度，滿足合規(guī)性要求，并向審計員證明他們正在按照任何配額或合同交付。

現代化事業(yè)更加復雜、雄心勃勃，有時甚至是痛苦的，因為公共部門機構對安全性、合規(guī)性和法律法規(guī)以及采購法律和政策的要求越來越高。

在公共部門的時間、金錢和資源限制下，開拓新的流程、技術和方法可能特別具有挑戰(zhàn)性。團隊經常面臨壓力，需要將功能擴展到用戶的整個功能生態(tài)系統(tǒng)，管理授權的法律、法規(guī)和合規(guī)性控制，同時加快軟件部署。

為了確保安全性貫穿整個軟件供應鏈，人員、流程和技術需要協(xié)同工作，開發(fā)經過眾多安全人員評估的安全代碼，構建開放透明的流程，并持續(xù)測試代碼。

借助 DevOps 平臺，機構可以通過端到端安全性有效保護軟件供應鏈，幫助保護多個方面，包括保護內部代碼和外部源，同時自動實現連續(xù)的軟件合規(guī)性要求。

例如，像海軍這樣使用傳統(tǒng)艦載系統(tǒng)的機構仍然需要能夠更新操作能力，而不會使現有的遺留系統(tǒng)緊張，并在不同的軟件版本之間平穩(wěn)過渡。

避免供應商鎖定

政府機構在實施單一平臺時遇到的主要問題稱為供應商鎖定，即組織無法從單個供應商過渡或引入其他解決方案以防止單點故障。大多數機構都在努力防止供應商鎖定，因為它會給組織帶來安全風險。在尋找DevOps解決方案時，機構應確保該平臺使他們能夠集成更適合其需求的特定工具，從而消除任何供應商鎖定，并使組織能夠使用滿足其特定功能需求的工具。

要開始現代化過程，機構必須首先評估其在DevOps成熟度范圍內的位置，并了解加快將關鍵任務功能部署到現場所需的要素。一旦機構有了商定的基線，他們就可以開始確定前進的最佳戰(zhàn)略，從明確定義的目標和衡量績效的過程開始。

DevOps 平臺有助于實時、集中的通信和協(xié)作，從而打破孤島并消除開發(fā)、運營和安全團隊之間的順序交接，從而交付更好、更快的應用程序。DevOps 平臺的一些關鍵功能包括衡量性能、持續(xù)集成/持續(xù)交付 （CI/CD） 管道狀況和內置安全性。通過在開發(fā)過程中實施安全掃描程序，機構可以在提交代碼時掃描每一行代碼，從而使開發(fā)人員能夠在漏洞被推送之前識別和修復漏洞。此過程升級了左移方法——持續(xù)解決安全問題，以便所有產品在設計上都是安全的。

實現軟件工廠模型

作為單個應用程序交付的完整 DevSecOps 平臺可以用作集成的、開箱即用的現代軟件開發(fā)工廠。這是快速構建、測試和交付應用程序的最有效且易于管理的途徑，無需管理數十個單獨的工具和自定義集成。有效的軟件工廠在整個 DevSecOps 生命周期中具有一個接口、一個用戶模型和一個數據模型。

集成軟件工廠還可以為集中式異步協(xié)作提供單一事實來源，從而幫助團隊滿足合規(guī)性要求。工廠的端到端代碼質量視圖可實現更好的質量、更安全的代碼和更快的交付，以及更少的開發(fā)延遲和更準時的發(fā)布。

公共部門的軟件工廠必須滿足以下要求：

協(xié)作：實現整個軟件開發(fā)團隊之間的共享和協(xié)調;促進記錄在案的、透明的同行評審和代碼更改的批準。提供來自生產環(huán)境中應用程序的反饋和見解，使開發(fā)人員能夠實時檢測問題并改進應用程序。

自動化：自動化應用程序從開發(fā)到部署和交付所需的步驟，以及每次代碼更改完成的 CI 開發(fā)任務，并將自動化測試和安全掃描納入開發(fā)過程。

文檔：通過測試、驗證和部署來記錄和跟蹤每個應用程序的代碼和庫。

測試：使交付團隊能夠捕獲、討論、確定優(yōu)先級和定義新的要求和用例。利用容器、容器化和云，并支持按需動態(tài)測試環(huán)境，供開發(fā)人員和團隊進行測試。

軍事環(huán)境中的軟件工廠

使用一些不同的工具，或試圖將過時的技術與新興工具連接起來，可能會使在軍事環(huán)境中實現任務目標變得特別困難。這種方法可能會減慢部署時間，創(chuàng)建孤立的團隊，并對溝通和協(xié)作產生技術障礙。此外，從一開始就在沒有安全平臺的情況下開發(fā)的項目可能會錯過網絡安全漏洞，這意味著開發(fā)人員和安全分析師必須花費額外的時間來修復和恢復數據，這會增加項目成本。

自從切換到 GitLab 的單一 DevOps 平臺以來，一家軍事機構發(fā)現成本節(jié)約的結果有所增加，并節(jié)省了 100 年的編程時間。通過減少其工具鏈中的大量工具并將其集成到具有內置安全性和合規(guī)性的單一平臺中，該機構能夠將其軟件發(fā)布時間從標準的三到八個月縮短到僅一周。

展望未來

快速完成任務是整個公共部門機構的一個關鍵目標，但似乎與嚴格的安全和合規(guī)措施不一致。數字化現代化并不像一夜之間使用一套全新的工具那么簡單;這是一個隨著技術不斷發(fā)展的道路上的許多顛簸而發(fā)展的過程。向數字化未來的轉變需要謹慎處理遺留系統(tǒng)和新興技術。

單一 DevOps 平臺是彌合當今技術與未來進步之間差距的有效工具，同時仍保持安全。也許領導者最基本的步驟是確保文化思維方式和流程的轉變與新技術保持一致。執(zhí)行和記錄流程變更，將這些變更傳達給團隊成員，并創(chuàng)建一個激勵人員支持的環(huán)境至關重要。技術重組必須始終反映文化轉型，以免機構經歷投資浪費、功能失調和長期采用失敗。

審核編輯：郭婷