通过对遗留系统进行现代化改造来保护软件供应链

尽管遗留系统成本高昂且容易受到恶意网络攻击，但美国国防部 （DoD） 内的政府机构必须有效且主动地弥合传统和现代技术框架之间的差距。从旧系统到现代系统的硬性、反动的转变可能会增加安全风险并暴露漏洞。

作为这种转变的一部分，机构应考虑从预制件和DIY开发环境转向更成熟的选项。开源 DevOps ［结合软件开发 （Dev） 和 IT 运营 （Ops） 的一组实践的术语］ 平台可以在整个软件开发生命周期 （SDLC） 中实现持续的安全扫描，可以成为简化转换、减少切换次数并有效地连接到旧系统和新系统等有价值的替代方案，使其更具成本效益和安全性。

公共部门的首席信息官们需要努力寻找实施软件供应链安全的解决方案，以主动保护他们的机构，而不是等待最终指导。这些进展将使各机构内的IT和开发团队能够继续完善和调整其方法，以满足最佳做法。

为可持续转型奠定基础

在经历现代化过程和实施新的安全措施时，公共部门内的组织必须针对与商业企业不同的独特约束和规范进行调整。公共部门组织必须加快速度，满足合规性要求，并向审计员证明他们正在按照任何配额或合同交付。

现代化事业更加复杂、雄心勃勃，有时甚至是痛苦的，因为公共部门机构对安全性、合规性和法律法规以及采购法律和政策的要求越来越高。

在公共部门的时间、金钱和资源限制下，开拓新的流程、技术和方法可能特别具有挑战性。团队经常面临压力，需要将功能扩展到用户的整个功能生态系统，管理授权的法律、法规和合规性控制，同时加快软件部署。

为了确保安全性贯穿整个软件供应链，人员、流程和技术需要协同工作，开发经过众多安全人员评估的安全代码，构建开放透明的流程，并持续测试代码。

借助 DevOps 平台，机构可以通过端到端安全性有效保护软件供应链，帮助保护多个方面，包括保护内部代码和外部源，同时自动实现连续的软件合规性要求。

例如，像海军这样使用传统舰载系统的机构仍然需要能够更新操作能力，而不会使现有的遗留系统紧张，并在不同的软件版本之间平稳过渡。

避免供应商锁定

政府机构在实施单一平台时遇到的主要问题称为供应商锁定，即组织无法从单个供应商过渡或引入其他解决方案以防止单点故障。大多数机构都在努力防止供应商锁定，因为它会给组织带来安全风险。在寻找DevOps解决方案时，机构应确保该平台使他们能够集成更适合其需求的特定工具，从而消除任何供应商锁定，并使组织能够使用满足其特定功能需求的工具。

要开始现代化过程，机构必须首先评估其在DevOps成熟度范围内的位置，并了解加快将关键任务功能部署到现场所需的要素。一旦机构有了商定的基线，他们就可以开始确定前进的最佳战略，从明确定义的目标和衡量绩效的过程开始。

DevOps 平台有助于实时、集中的通信和协作，从而打破孤岛并消除开发、运营和安全团队之间的顺序交接，从而交付更好、更快的应用程序。DevOps 平台的一些关键功能包括衡量性能、持续集成/持续交付 （CI/CD） 管道状况和内置安全性。通过在开发过程中实施安全扫描程序，机构可以在提交代码时扫描每一行代码，从而使开发人员能够在漏洞被推送之前识别和修复漏洞。此过程升级了左移方法——持续解决安全问题，以便所有产品在设计上都是安全的。

实现软件工厂模型

作为单个应用程序交付的完整 DevSecOps 平台可以用作集成的、开箱即用的现代软件开发工厂。这是快速构建、测试和交付应用程序的最有效且易于管理的途径，无需管理数十个单独的工具和自定义集成。有效的软件工厂在整个 DevSecOps 生命周期中具有一个接口、一个用户模型和一个数据模型。

集成软件工厂还可以为集中式异步协作提供单一事实来源，从而帮助团队满足合规性要求。工厂的端到端代码质量视图可实现更好的质量、更安全的代码和更快的交付，以及更少的开发延迟和更准时的发布。

公共部门的软件工厂必须满足以下要求：

协作：实现整个软件开发团队之间的共享和协调;促进记录在案的、透明的同行评审和代码更改的批准。提供来自生产环境中应用程序的反馈和见解，使开发人员能够实时检测问题并改进应用程序。

自动化：自动化应用程序从开发到部署和交付所需的步骤，以及每次代码更改完成的 CI 开发任务，并将自动化测试和安全扫描纳入开发过程。

文档：通过测试、验证和部署来记录和跟踪每个应用程序的代码和库。

测试：使交付团队能够捕获、讨论、确定优先级和定义新的要求和用例。利用容器、容器化和云，并支持按需动态测试环境，供开发人员和团队进行测试。

军事环境中的软件工厂

使用一些不同的工具，或试图将过时的技术与新兴工具连接起来，可能会使在军事环境中实现任务目标变得特别困难。这种方法可能会减慢部署时间，创建孤立的团队，并对沟通和协作产生技术障碍。此外，从一开始就在没有安全平台的情况下开发的项目可能会错过网络安全漏洞，这意味着开发人员和安全分析师必须花费额外的时间来修复和恢复数据，这会增加项目成本。

自从切换到 GitLab 的单一 DevOps 平台以来，一家军事机构发现成本节约的结果有所增加，并节省了 100 年的编程时间。通过减少其工具链中的大量工具并将其集成到具有内置安全性和合规性的单一平台中，该机构能够将其软件发布时间从标准的三到八个月缩短到仅一周。

展望未来

快速完成任务是整个公共部门机构的一个关键目标，但似乎与严格的安全和合规措施不一致。数字化现代化并不像一夜之间使用一套全新的工具那么简单;这是一个随着技术不断发展的道路上的许多颠簸而发展的过程。向数字化未来的转变需要谨慎处理遗留系统和新兴技术。

单一 DevOps 平台是弥合当今技术与未来进步之间差距的有效工具，同时仍保持安全。也许领导者最基本的步骤是确保文化思维方式和流程的转变与新技术保持一致。执行和记录流程变更，将这些变更传达给团队成员，并创建一个激励人员支持的环境至关重要。技术重组必须始终反映文化转型，以免机构经历投资浪费、功能失调和长期采用失败。

审核编辑：郭婷