現在，美國國防部 （DoD） 內的聯邦機構比以往任何時候都更需要開發與傳統技術兼容的軟件功能，同時維護和滿足保護專有代碼和網絡的嚴格安全需求。雖然這些指導方針對成功至關重要，但各機構必須迎接挑戰，積極實施新技術并保護其軟件供應鏈，而不是等待采取行動。

盡管遺留系統成本高昂且容易受到惡意網絡攻擊，但美國國防部 （DoD） 內的政府機構必須有效且主動地彌合傳統和現代技術框架之間的差距。從舊系統到現代系統的硬性、反動的轉變可能會增加安全風險并暴露漏洞。

作為這種轉變的一部分，機構應考慮從預制件和DIY開發環境轉向更成熟的選項。開源 DevOps ［結合軟件開發 （Dev） 和 IT 運營 （Ops） 的一組實踐的術語］ 平臺可以在整個軟件開發生命周期 （SDLC） 中實現持續的安全掃描，可以成為簡化轉換、減少切換次數并有效地連接到舊系統和新系統等有價值的替代方案，使其更具成本效益和安全性。

公共部門的首席信息官們需要努力尋找實施軟件供應鏈安全的解決方案，以主動保護他們的機構，而不是等待最終指導。這些進展將使各機構內的IT和開發團隊能夠繼續完善和調整其方法，以滿足最佳做法。

為可持續轉型奠定基礎

在經歷現代化過程和實施新的安全措施時，公共部門內的組織必須針對與商業企業不同的獨特約束和規范進行調整。公共部門組織必須加快速度，滿足合規性要求，并向審計員證明他們正在按照任何配額或合同交付。

現代化事業更加復雜、雄心勃勃，有時甚至是痛苦的，因為公共部門機構對安全性、合規性和法律法規以及采購法律和政策的要求越來越高。

在公共部門的時間、金錢和資源限制下，開拓新的流程、技術和方法可能特別具有挑戰性。團隊經常面臨壓力，需要將功能擴展到用戶的整個功能生態系統，管理授權的法律、法規和合規性控制，同時加快軟件部署。

為了確保安全性貫穿整個軟件供應鏈，人員、流程和技術需要協同工作，開發經過眾多安全人員評估的安全代碼，構建開放透明的流程，并持續測試代碼。

借助 DevOps 平臺，機構可以通過端到端安全性有效保護軟件供應鏈，幫助保護多個方面，包括保護內部代碼和外部源，同時自動實現連續的軟件合規性要求。

例如，像海軍這樣使用傳統艦載系統的機構仍然需要能夠更新操作能力，而不會使現有的遺留系統緊張，并在不同的軟件版本之間平穩過渡。

避免供應商鎖定

政府機構在實施單一平臺時遇到的主要問題稱為供應商鎖定，即組織無法從單個供應商過渡或引入其他解決方案以防止單點故障。大多數機構都在努力防止供應商鎖定，因為它會給組織帶來安全風險。在尋找DevOps解決方案時，機構應確保該平臺使他們能夠集成更適合其需求的特定工具，從而消除任何供應商鎖定，并使組織能夠使用滿足其特定功能需求的工具。

要開始現代化過程，機構必須首先評估其在DevOps成熟度范圍內的位置，并了解加快將關鍵任務功能部署到現場所需的要素。一旦機構有了商定的基線，他們就可以開始確定前進的最佳戰略，從明確定義的目標和衡量績效的過程開始。

DevOps 平臺有助于實時、集中的通信和協作，從而打破孤島并消除開發、運營和安全團隊之間的順序交接，從而交付更好、更快的應用程序。DevOps 平臺的一些關鍵功能包括衡量性能、持續集成/持續交付 （CI/CD） 管道狀況和內置安全性。通過在開發過程中實施安全掃描程序，機構可以在提交代碼時掃描每一行代碼，從而使開發人員能夠在漏洞被推送之前識別和修復漏洞。此過程升級了左移方法——持續解決安全問題，以便所有產品在設計上都是安全的。

實現軟件工廠模型

作為單個應用程序交付的完整 DevSecOps 平臺可以用作集成的、開箱即用的現代軟件開發工廠。這是快速構建、測試和交付應用程序的最有效且易于管理的途徑，無需管理數十個單獨的工具和自定義集成。有效的軟件工廠在整個 DevSecOps 生命周期中具有一個接口、一個用戶模型和一個數據模型。

集成軟件工廠還可以為集中式異步協作提供單一事實來源，從而幫助團隊滿足合規性要求。工廠的端到端代碼質量視圖可實現更好的質量、更安全的代碼和更快的交付，以及更少的開發延遲和更準時的發布。

公共部門的軟件工廠必須滿足以下要求：

協作：實現整個軟件開發團隊之間的共享和協調;促進記錄在案的、透明的同行評審和代碼更改的批準。提供來自生產環境中應用程序的反饋和見解，使開發人員能夠實時檢測問題并改進應用程序。

自動化：自動化應用程序從開發到部署和交付所需的步驟，以及每次代碼更改完成的 CI 開發任務，并將自動化測試和安全掃描納入開發過程。

文檔：通過測試、驗證和部署來記錄和跟蹤每個應用程序的代碼和庫。

測試：使交付團隊能夠捕獲、討論、確定優先級和定義新的要求和用例。利用容器、容器化和云，并支持按需動態測試環境，供開發人員和團隊進行測試。

軍事環境中的軟件工廠

使用一些不同的工具，或試圖將過時的技術與新興工具連接起來，可能會使在軍事環境中實現任務目標變得特別困難。這種方法可能會減慢部署時間，創建孤立的團隊，并對溝通和協作產生技術障礙。此外，從一開始就在沒有安全平臺的情況下開發的項目可能會錯過網絡安全漏洞，這意味著開發人員和安全分析師必須花費額外的時間來修復和恢復數據，這會增加項目成本。

自從切換到 GitLab 的單一 DevOps 平臺以來，一家軍事機構發現成本節約的結果有所增加，并節省了 100 年的編程時間。通過減少其工具鏈中的大量工具并將其集成到具有內置安全性和合規性的單一平臺中，該機構能夠將其軟件發布時間從標準的三到八個月縮短到僅一周。

展望未來

快速完成任務是整個公共部門機構的一個關鍵目標，但似乎與嚴格的安全和合規措施不一致。數字化現代化并不像一夜之間使用一套全新的工具那么簡單;這是一個隨著技術不斷發展的道路上的許多顛簸而發展的過程。向數字化未來的轉變需要謹慎處理遺留系統和新興技術。

單一 DevOps 平臺是彌合當今技術與未來進步之間差距的有效工具，同時仍保持安全。也許領導者最基本的步驟是確保文化思維方式和流程的轉變與新技術保持一致。執行和記錄流程變更，將這些變更傳達給團隊成員，并創建一個激勵人員支持的環境至關重要。技術重組必須始終反映文化轉型，以免機構經歷投資浪費、功能失調和長期采用失敗。

審核編輯：郭婷