美國總務署(GSA)導入DevSecOps成熟度模型 兼具技術與業務效益



美國政府除了將採用開源技術研發的政府服務以開源釋出之外,為了保障開源政府服務的安全性,美國總務署(General Services Administration, GSA)也針對聯邦政府所需要的開源開發和安全性規範,導入「安全開發維運協作(DevSecOps)」策略,除了能確保政府服務的開源特質,也能把關其安全性。

技術發展背景

由於GSA主掌美國政府各項公有資產、政府採購契約,因此針對政府軟體服務和設計,肩負起關鍵責任和功用;而GSA也為美國聯邦政府使用的軟體,建立DevSecOps的檢測指標,包含14大領域、11個「關鍵指標」(必要)及39個「支援指標」(視個別題目所需),關鍵指標和支援指標對應到14大領域,為GSA DevSecOps實際驗測項目,項目積分以1~3級評分(部分指標包含更高的第4級),來鑑別DevSecOps專案和流程,是否滿足可安全交付的需求。

技術介紹與應用現況

GSA以如下14大領域,作為DevSecOps團隊的需求評估指標。

  1. DevSecOps平台的通盤考量(Overarching DevSecOps Platform Considerations):包含平台管理和平台責任劃分
  2. 映像檔管理:包含虛擬機上映像檔的新增和儲存。
  3. 活動紀錄(Logging)、監控和警示:將各項活動紀錄和異常監控,通知給使用者的方法。
  4. 更新檔管理(Patch Management):如何將更新檔正確投放到平台和作業系統上。
  5. 平台治理(Governance):對平台的安全性和可用性,進行異動和調整。
  6. 異動管理:主要針對版本控制議題,進行各版本的分岔和合併管理。
  7. 應用程式管理、測試和運作:例如開發環境、測試工具、測試和維運標準等。
  8. 應用程式部署:例如應用程式部署管道(Pipeline),以及對應的開發流程手冊(Playbook)
  9. 帳號、權限、憑證和隱私管理:主要著重資安方面議題,並做好一系列的安全把關工作。
  10. 可用性和效能管理。
  11. 網路連線管理:例如網路架構、拓樸圖、網路連線變動等。
  12. 運作流程的權限:必須有專責人員,依據被賦予的權限,使用DevOps平台的特定功能。
  13. 備份和資料生命週期管理:除了備份以外,還有資料生命週期(例:資料更新、過時資料的廢棄),也需要納入資料完整度的考量。
  14. 合約和財務管理:DevSecOps需要外部財力的挹注,並以合約方式來確保財務上的穩定性。

 GSA官方也推薦了敏捷相關工具,來符合GSA為聯邦政府導入敏捷工法的合規性:

  • 創建階段(測試):JIRA, Slack, Trello
  • 創建階段(寫程式):Ansible, GitHub, Jenkins
  • 測試階段(持續整合):Jenkins, Selenium, CircleCI
  • 測試階段(持續交付):Ansible, Jenkins, Terraform, CloudFormation
  • 營運階段(安全監控):AMI, ClamAV, CloudWatch, Nessus, OSSEC

未來展望/挑戰

GSA最後表示,導入DevSecOps成熟度模型,將會帶來技術效益和業務效益,有助於讓DevOps團隊順暢運作,並強化整體流程的安全性。

  • 技術效益
  1. 可持續交付軟體
  2. 可減少漏洞修復的複雜度
  3. 可加速問題的處理
  • 業務效益
  1. 可更快速交付軟體功能
  2. 帶來更穩定的作業環境
  3. 有更充裕的時間來提供加值服務,降低修復和維護佔去的時間

另外,GSA由於主掌美國政府資訊系統的採購,藉由推出DevSecOps的規範,可讓美國國內外的團隊,經GSA分級評估後,可藉由打入GSA採購為契機,來證明具有聯邦政府級的DevSecOps技術能量,並獲得政府端的信賴與選用。

 

參考資料

  1. (2022, July 22). Top DevOps Interview Questions You Must Prepare In 2022. Retrieved from Edureka: https://www.edureka.co/blog/interview-questions/top-devops-interview-questions-2016/ 
  2. (2017, May 19). Building a DevSecOps Culture - from a Technical Perspective. Retrieved from GSA: https://tech.gsa.gov/guides/building_devsecops_culture/ 
  3. (2021, Dec 8). DevSecOps Guide. Retrieved from GSA: https://tech.gsa.gov/guides/dev_sec_ops_guide/