美國軍方如何實現DevSecOps標準? - cloudbees

banq發表於2020-06-11

當您的國家/地區的安全取決於軟體時,您最好確保它堅如磐石。這就是為什麼美國軍方為DevSecOps設定標準的原因,DevSecOps是一種軟體開發方法,可以將安全性嵌入每一行程式碼中,無論它是儲存在私有云中還是在F-16戰鬥機的駕駛艙中。該程式由美國空軍首席軟體官Nicolas Chaillan執行,他還擔任整個美國國防部的國防部企業DevSecOps計劃的聯合負責人。
Chaillan在15歲的時候創立了自己的第一家軟體公司,並且是建立流行的Web程式語言PHP的團隊的成員。此後的二十年間,Chaillan創立並出售了大約十二家科技公司,然後被國防部長辦公室聘用,以幫助為美國軍隊帶來軟體安全性和快速原型創新。 

平衡速度和安全性
快速的軟體開發是美國軍方的重要目標,但決不能以安全為代價。因此,Chaillan的團隊一直在努力將安全性嵌入到開發生命週期的每個階段,這種做法被稱為DevSecOps。
 零信任透過稱為Istio的開放原始碼服務網格一直到團隊的開發過程一直到容器級別,有助於實施需要了解的知識和最低特權策略並減少攻擊面。
他的願景是透過國防部範圍內的企業服務DevSecOps團隊Platform One提供的新的“ Party Bus”和“ Big Bang”服務,向國防部的網路安全團隊提供DevSecOps方法學作為集中服務。 
人們通常沒有意識到提供企業級功能的複雜性。美國龐大的軍事力量充斥著各種作戰孤島,這些孤島會使從軟體到武器系統的一切生產變得複雜,而且速度緩慢。筒倉越多、步驟和閘口越多,則在DoD程式之間浪費的時間就越長。
具有諷刺意味的是,提高速度實際上可以幫助組織變得更安全。

持續運轉
透過以安全的方式簡化開發操作,DoD的目標是實現所謂的“連續執行授權”,在這種環境中,團隊可以每天多次或根據需要多次部署軟體。該組織已經建立了一個由智慧定義的管道和閘門組成的軟體工廠,從而使所產生的產品能夠自動獲得認可並批准在整個DoD中使用。
建立工廠後,受過良好訓練的團隊可以根據需要自定義工廠,選擇他們喜歡的程式語言和工具來構建和部署軟體。為了簡單起見,軍方不會僅僅在整個機構範圍內規定一套標準的DevSecOps工具。透過16種程式語言和23個資料庫為170多種工具提供企業支援和擴充套件,因此我們想確保我們為團隊帶來了選擇,並且沒有一個千篇一律的解決方案。
但是,Chaillan一直在推動他所謂的“單一抽象層”,使DoD可以使用Cloud Native Computing Foundation在任何環境中部署軟體,無論是傳統的私有云,公共雲還是邊緣用例( CNCF)Kubernetes環境 。Kubernetes抽象層為您提供了將軟體遷移到不同環境的靈活性。
Chaillan的DevSecOps服務體現在兩個團隊中:Cloud One和Platform One。Cloud One使DoD的工程團隊可以單點登入訪問政府經ATO認證的Azure和Amazon雲。Platform One是一個DevSecOps環境,可以部署在任何地方,無論是在雲中(包括Cloud One還是在本地),並且幾乎可以用於任何用例或武器程式。對於尋求與國防部在機密級專案上安全合作的政府承包商來說,這也是一個不錯的選擇。 



 

相關文章