利用具有坚如磐石安全性的军事开源创新

美国军方面临着越来越大的压力，他们需要加快创新速度，以保持领先于不断变化的威胁形势，但又不会快到危及任务关键型IT系统的安全性。

开源软件可以通过开辟合作、增长和自由交流思想的途径来帮助美国军方实现其目标。开源开发人员不断测试哪些有效，哪些无效的界限。通常，它们“快速失败”并迭代，即使它们以更快的速度工作。开源开发社区，尽管它遍布全球，但密切合作以促进持续创新。

可以理解的是，这种快速、敏捷、自由流动的环境会滋生安全问题，尤其是在国防领域。良好的安全卫生通常与“缓慢”和“有条不紊”这两个词相关联，这两个词通常都不是开源开发。

但是围绕开源和风险存在固有的误解，机构不需要在速度和安全性之间做出选择。让我们探讨一下军方如何两全其美——利用开源软件的优势，同时获得战场所需的完整性和安全能力。

了解开源的细微差别

为了充分利用开源软件和技术，最好首先了解开发环境的动态及其对安全性的影响。

开源的最大优势是对已识别的安全挑战的反应速度更快——毕竟，任何人都可以在出现问题时提交修复或补丁。但是，将任何软件视为防弹都是错误的。

开源项目可能需要大量的时间和资源来维护。当社区的注意力被吸引到新版本和功能的方向时，在任何给定时间维护代码安全的成员数量可能会有所不同，从而影响响应新漏洞的能力。因此，开放代码安全的主要责任落在了嵌入它的人身上。

对于军方来说，承担维护关键任务、基于开源的系统和应用程序的责任可能具有挑战性，因为所涉及的系统的使用寿命很长，而且需要付出巨大的努力。不幸的是，支持可能并不总是随时可用。例如，工作人员通常认为“有人在那里”可以帮助他们在出现安全问题时解决它们 - 而事实可能并非如此。开源社区成员不是 24/7 全天候待命，也不会向用户提供服务级别协议。

有效、持续的开源软件维护需要一种深入防御的方法，包括对最新补丁和更新的深入了解，而许多 IT 专业人员缺乏这些知识。幸运的是，外部供应商可以提供帮助。许多供应商已经站在开源项目的前线，积极创新和加强他们的产品，以配合安全的发展。至关重要的是，外部供应商也可以提供支持，负责开源维护部分，从而使军事IT能够专注于直接支持任务的更高级别的活动。

实现强大的开源安全态势的必要性

为了维护开源系统和应用程序的安全态势，每个军事 IT 经理都应该考虑两个主要优先事项。

首先必须做的是自动化以减少人为错误并使流程可重复。美国军队是一个既有传统又有创新的机构。多年来的战斗对指挥官和作战人员执行任务目标的方式进行了改进和调整。

军事IT系统也是如此，通常会随着时间的推移而修改和更新。然而，与在战场上收集的知识不同，可能没有记录为什么进行IT更改。即使是很小的变化也会深刻影响系统的完整性，造成大量的技术债务，使管理人员难以确定其系统的完整性。

清楚地了解系统内发生或更改的所有内容对于识别潜在漏洞至关重要。使用开源软件可以使军方保留系统配置的记录，以便清楚地了解对这些系统所做的更改。此外，IT 可以自动化应用程序开发流程，以减少技术债务并最大限度地降低人为错误的风险，这是安全漏洞的主要原因。

第二个当务之急：使安全性成为应用程序开发的核心。对于许多组织来说，数字化转型意味着将组件添加到已经存在的基础架构上。这有时会发生在安全控制中，这在应用程序和系统开发方面通常是事后才想到的。事实上，直到最近，安全性还不是DevOps流程的核心部分，因为开发人员和运营经理认为这是创新的消耗。

在一个军事武器越来越容易受到黑客攻击的世界里，这种做法是不可接受的。军事 IT 必须将安全功能直接融入应用程序开发流程，并使其成为其基础架构的核心组件。

我们看到这种情况随着DevSecOps的出现而发生。现在，安全性必须被视为不仅仅是开发工作的一部分或附加组件 - 它是一种共同的责任，在开发的所有阶段都根深蒂固。从白板阶段到最终交付，团队扫描和测试应用程序，在开发的每个阶段解决漏洞，并在应用程序投入生产之前弥补安全漏洞。

与DevOps一样，DevSecOps是关于生产速度的，自动化构成了驱动流程的引擎。正如我们所建立的，通过使用开源技术可以促进自动化，提供敏捷性和安全性功能的成功组合。

采用成功的心态

重要的是要记住，实现开源项目的安全态势不是一次性事件 - 这是一个永无止境的过程。对于军事IT人员来说，这意味着及时了解不断变化的内部和外部安全威胁，持续扫描漏洞，并定期实施补丁和更新软件。

此外，IT经理应该记住，并非所有开源项目都是平等的。一些部署更小且更易于保护，而其他部署更大且更复杂，可能需要不同的知识和技能。例如，如果将开源用于操作系统或虚拟化管理程序，则由于它们覆盖的表面积很大，因此安全风险可能会更高。

安全与创新是经过验证的组合

安全和创新并不是相互排斥的概念。例如，美国海军的“编译作战”计划就是一个很好的例子，说明国防机构使用尖端软件，努力使军舰比以往任何时候都更快、更安全地漂浮。（见上面的铅照片。

所有IT人员，包括军事IT人员，都必须仔细检查如何利用系统或应用程序及其漏洞所在 - 不仅仅是在项目开始时，而是在部署的生命周期内。这种积极主动、安全第一的思维方式可以使军事 IT 组织充分利用开源软件和技术。

审核编辑：郭婷