กระทรวงกลาโหมมีโรงงานซอฟต์แวร์ 29 แห่งที่ส่งเสริมการใช้กระบวนการพัฒนา ความปลอดภัย และการดำเนินงาน (DevSecOps)บันทึกช่วยจำใหม่ 2 รายการจากเดือนกุมภาพันธ์มีจุดมุ่งหมายเพื่อนำมาตรฐานเพิ่มเติมเกี่ยวกับการพัฒนาซอฟต์แวร์และวิธีการที่หน่วยบริการทางทหารและหน่วยงานป้องกันรักษาความปลอดภัยของแอปพลิเคชันเหล่านั้นอย่างต่อเนื่องชิ้นต่อไปของปริศนาการเปลี่ยนแปลงทางดิจิทัลนี้คือการใช้คอนเทนเนอร์และบริการขนาดเล็ก Mike Libutti หุ้นส่วนอาวุโสและรองประธาน ผู้นำอุตสาหกรรมการป้องกันของ IBM กล่าว
เมื่อ DoD ย้ายไปสู่บริการคลาวด์เชิงพาณิชย์และการรักษาศูนย์ข้อมูล
ในสถานที่มากขึ้น การรวมกันของ DevSecOps คอนเทนเนอร์และบริการขนาดเล็กจะทำให้บริการทางทหารและหน่วยงานป้องกันมีเส้นทางที่ดีที่สุดเพื่อความคล่องตัวที่เหลืออยู่ สามารถปรับขนาดและรักษาความปลอดภัยของข้อมูลได้ Libutti กล่าว .
“ตู้คอนเทนเนอร์ได้เพิ่มขึ้นอย่างรวดเร็วในพื้นที่การพัฒนาในช่วงสองสามปีที่ผ่านมา มีแอตทริบิวต์หลักบางประการและประโยชน์ หลักบางประการที่คุณได้รับจากการใช้คอนเทนเนอร์” Libutti กล่าวระหว่างการอภิปรายที่ DoD Cloud Exchange ประจำปีครั้งที่สองของ Federal News Network
“อย่างแรกคือการสร้าง การพกพา และความยืดหยุ่นของปริมาณงานที่คุณสามารถย้ายผ่านคลาวด์หลายตัวและศูนย์ข้อมูลในองค์กร ฉันคิดว่านั่นเป็นส่วนสำคัญเพราะปัจจุบันมีข้อเสนอจำนวนมากที่ต้องการหมุนคอนเทนเนอร์ภายในคลาวด์เฉพาะ” เขากล่าวเสริม “แต่ความจริงก็คือเราจะต้องอยู่ในโลกไซเบอร์ที่ซับซ้อนนี้ ดังนั้นคุณจะต้องมีความสามารถในการคอนเทนเนอร์ที่จะนั่งทั่วทั้งระบบนิเวศทั้งหมด”
คอนเทนเนอร์ทำให้ง่ายต่อการปรับปรุงแอปพลิเคชันเดิมให้ทันสมัยโดยพึ่งพาแนวทางไมโครเซอร์วิส Libutti กล่าว
“มันจะทำให้คุณพร้อมสำหรับอนาคต ในด้านการปรับปรุงให้ทันสมัย เช่น การปรับโครงสร้างของแอปพลิเคชันเฉพาะเหล่านั้น” เขากล่าว ความเร็วและความยืดหยุ่นของคอนเทนเนอร์ในระบบคลาวด์ไม่มีใครเทียบได้ โดยเฉพาะอย่างยิ่งเมื่อความต้องการของ DoD พัฒนาขึ้นเรื่อยๆ
โมเดลบริการที่ใช้ร่วมกันเป็นจุดเริ่มต้นสำหรับคอนเทนเนอร์
Trista Colbert หุ้นส่วนอาวุโสและรองประธานฝ่ายบริการคลาวด์แบบไฮบริดสำหรับภาคส่วนกลางของ IBM กล่าวว่าวิธีหนึ่งในการเริ่มต้นการย้ายไปยังคอนเทนเนอร์คือผ่านรูปแบบบริการที่ใช้ร่วมกัน เช่น Platform One ของกองทัพอากาศ โรงงานซอฟต์แวร์ของกองทัพบก หรือจากคอนเทนเนอร์ เป็นการให้บริการในอุตสาหกรรม
“โดยพื้นฐานแล้วมันเป็นความสามารถที่ช่วยให้คุณสามารถปรับใช้แอปพลิเคชันของคุณได้อย่างรวดเร็วโดยใช้เทคโนโลยีคอนเทนเนอร์ จากนั้นเริ่มด้วยกระบวนการสร้างและปรับใช้ที่จะเกิดขึ้นหลังจากนั้น” ฌ็องกล่าว “จากนั้น ท้ายที่สุด คุณจะไปถึงจุดที่คุณสบายใจจริงๆ กับการจัดการแอปพลิเคชันใหม่หรือแอปพลิเคชันที่มีอยู่และที่ปรับปรุงแล้ว”
การเปลี่ยนแปลงวิธีการจัดการของ DoD และปรับปรุงแอปพลิเคชันให้ทันสมัยในช่วงห้าปีที่ผ่านมานั้นจำเป็นต้องมีการเปลี่ยนแปลงทางวัฒนธรรมที่สำคัญ พนักงานยังคงปรับตัวให้เข้ากับความคิดใหม่นี้ กระบวนการได้มานั้นยังคงต้องพัฒนาเพื่อรองรับกระบวนการพัฒนาซ้ำและคล่องตัว และแน่นอนว่าเจ้าของภารกิจจะต้องขยายการมีส่วนร่วมในการพัฒนา
“พลังที่แท้จริงของการใช้โมเดลนั้นคือการทำให้ทีมพัฒนาของคุณมีความสอดคล้องอย่างใกล้ชิดกับทีมรักษาความปลอดภัยและทีมปฏิบัติการ” Libutti กล่าว “พวกเขามีส่วนร่วมก่อนหน้านี้มากในวงจรการจัดส่งโซลูชันทั้งหมด ดังนั้นคุณจึงต้องดำเนินการตามโมเดล DevSecOps แล้วจึงผูกประเด็นรอบ ๆ การบรรจุคอนเทนเนอร์”
แนวทาง DevSecOps กับคอนเทนเนอร์และไมโครเซอร์วิสยังช่วยให้นักพัฒนาสามารถใช้ประโยชน์จากหน่วยงานที่มีอำนาจต่อเนื่องในการปฏิบัติการ (ATO) ใหม่ของ DoD บันทึกช่วยจำ ของ ATO ตั้งแต่เดือนกุมภาพันธ์อนุญาตให้มีกระบวนการอนุมัติความปลอดภัยด้านไอทีที่ยอมรับความเป็นจริงของการพัฒนาซอฟต์แวร์สมัยใหม่และภัยคุกคามทางไซเบอร์
DevSecOps ช่วยให้หน่วยงานจัดการกับภัยคุกคามทางไซเบอร์ในปัจจุบันและที่เกิดขึ้นใหม่ และลดความสามารถของนักพัฒนาในการสร้างช่องโหว่ใหม่ในขณะที่พวกเขาปรับปรุงแอปพลิเคชันให้ทันสมัย Libutti กล่าว
“คุณจะต้องดูกระบวนทัศน์ซ้ายขวาของการเปลี่ยนแปลงใน DevSecOps เมื่อคุณเตรียมการรักษาความปลอดภัยไว้ล่วงหน้า คุณมีสถานการณ์ที่ตอนนี้คุณมีประตูที่กำหนดไว้ล่วงหน้า ซึ่งคุณกำลังทดสอบท่าทางการรักษาความปลอดภัยของคุณในขั้นตอนเหล่านั้น” เขากล่าว “ตอนนี้คุณกำลังอาศัยข้อมูลจากการทดสอบเหล่านั้นจริง ๆ แล้วไถพรวนกลับไปสู่ส่วนหน้าของกระบวนการพัฒนา ดังนั้น ในทางกลับกัน คุณระบุปัญหาเหล่านี้ได้ตั้งแต่เนิ่นๆ และจากนั้นคุณก็แก้ไขตั้งแต่เนิ่นๆ เพื่อที่ว่าในที่สุด คุณจะมีความสามารถที่แข็งแกร่งและปลอดภัยยิ่งขึ้น”
Credit : ยูฟ่าสล็อต