美國總務署（GSA）導入DevSecOps成熟度模型 兼具技術與業務效益

美國政府除了將採用開源技術研發的政府服務以開源釋出之外，為了保障開源政府服務的安全性，美國總務署（General Services Administration, GSA）也針對聯邦政府所需要的開源開發和安全性規範，導入「安全開發維運協作（DevSecOps）」策略，除了能確保政府服務的開源特質，也能把關其安全性。

技術發展背景

由於GSA主掌美國政府各項公有資產、政府採購契約，因此針對政府軟體服務和設計，肩負起關鍵責任和功用；而GSA也為美國聯邦政府使用的軟體，建立DevSecOps的檢測指標，包含14大領域、11個「關鍵指標」（必要）及39個「支援指標」（視個別題目所需），關鍵指標和支援指標對應到14大領域，為GSA DevSecOps實際驗測項目，項目積分以1~3級評分（部分指標包含更高的第4級），來鑑別DevSecOps專案和流程，是否滿足可安全交付的需求。

技術介紹與應用現況

GSA以如下14大領域，作為DevSecOps團隊的需求評估指標。

1. DevSecOps平台的通盤考量(Overarching DevSecOps Platform Considerations)：包含平台管理和平台責任劃分
2. 映像檔管理：包含虛擬機上映像檔的新增和儲存。
3. 活動紀錄(Logging)、監控和警示：將各項活動紀錄和異常監控，通知給使用者的方法。
4. 更新檔管理(Patch Management)：如何將更新檔正確投放到平台和作業系統上。
5. 平台治理(Governance)：對平台的安全性和可用性，進行異動和調整。
6. 異動管理：主要針對版本控制議題，進行各版本的分岔和合併管理。
7. 應用程式管理、測試和運作：例如開發環境、測試工具、測試和維運標準等。
8. 應用程式部署：例如應用程式部署管道(Pipeline)，以及對應的開發流程手冊(Playbook)
9. 帳號、權限、憑證和隱私管理：主要著重資安方面議題，並做好一系列的安全把關工作。
10. 可用性和效能管理。
11. 網路連線管理：例如網路架構、拓樸圖、網路連線變動等。
12. 運作流程的權限：必須有專責人員，依據被賦予的權限，使用DevOps平台的特定功能。
13. 備份和資料生命週期管理：除了備份以外，還有資料生命週期(例：資料更新、過時資料的廢棄)，也需要納入資料完整度的考量。
14. 合約和財務管理：DevSecOps需要外部財力的挹注，並以合約方式來確保財務上的穩定性。

 GSA官方也推薦了敏捷相關工具，來符合GSA為聯邦政府導入敏捷工法的合規性：

• 創建階段（測試）：JIRA, Slack, Trello
• 創建階段（寫程式）：Ansible, GitHub, Jenkins
• 測試階段（持續整合）：Jenkins, Selenium, CircleCI
• 測試階段（持續交付）：Ansible, Jenkins, Terraform, CloudFormation
• 營運階段（安全監控）：AMI, ClamAV, CloudWatch, Nessus, OSSEC

未來展望／挑戰

GSA最後表示，導入DevSecOps成熟度模型，將會帶來技術效益和業務效益，有助於讓DevOps團隊順暢運作，並強化整體流程的安全性。

• 技術效益

1. 可持續交付軟體
2. 可減少漏洞修復的複雜度
3. 可加速問題的處理

• 業務效益

1. 可更快速交付軟體功能
2. 帶來更穩定的作業環境
3. 有更充裕的時間來提供加值服務，降低修復和維護佔去的時間

另外，GSA由於主掌美國政府資訊系統的採購，藉由推出DevSecOps的規範，可讓美國國內外的團隊，經GSA分級評估後，可藉由打入GSA採購為契機，來證明具有聯邦政府級的DevSecOps技術能量，並獲得政府端的信賴與選用。

參考資料

1. (2022, July 22). Top DevOps Interview Questions You Must Prepare In 2022. Retrieved from Edureka: https://www.edureka.co/blog/interview-questions/top-devops-interview-questions-2016/ 
2. (2017, May 19). Building a DevSecOps Culture - from a Technical Perspective. Retrieved from GSA: https://tech.gsa.gov/guides/building_devsecops_culture/ 
3. (2021, Dec 8). DevSecOps Guide. Retrieved from GSA: https://tech.gsa.gov/guides/dev_sec_ops_guide/