เว็บไซต์ค้าปลีกเช่น Amazon และแอปพลิเคชันมือถือยอดนิยมอย่าง Uber ได้รับการอัปเดตอย่างต่อเนื่องด้วยคุณสมบัติและการเปลี่ยนแปลงใหม่ๆ นั่นทำให้ความคาดหวังของสาธารณชนต่อแอปพลิเคชันและบริการดิจิทัลเปลี่ยนไป และหน่วยงานรัฐบาลกลางก็พยายามตามให้ทันManny Evangelista สถาปนิกโซลูชันดิจิทัลของ Presidio กล่าวว่า “นั่นเป็นเหตุผลที่พวกเขากำลังมองหาเทคโนโลยีที่เปลี่ยนแปลงได้ เช่น คลาวด์ แพลตฟอร์ม DevOps คอนเทนเนอร์ Kubernetes เทคโนโลยีที่เป็น
นวัตกรรมใหม่ๆ ที่มาจากอุตสาหกรรม”
“เทคโนโลยีประเภทนี้กำลังเปลี่ยนแปลงวิธีการปฏิบัติภารกิจของรัฐบาลอย่างแท้จริง เพราะเมื่อคุณคาดการณ์ว่าหมายถึงกองทัพอากาศ และคุณมีเครื่องบินขับไล่ วิธีใดคือวิธีที่ดีที่สุดที่จะมีอำนาจเหนือกว่าทางอากาศอย่างต่อเนื่อง? คุณต้องมีซอฟต์แวร์ที่ทันสมัยที่สุดเมื่อต้องรับมือกับศัตรูต่างชาติของเรา เช่น จีนหรือรัสเซีย”
หน่วยงานของรัฐบาลกลางสามารถบรรลุเป้าหมายดังกล่าวได้โดยใช้หลักการที่คล่องตัวและแนวทางปฏิบัติที่ดีที่สุดจากอุตสาหกรรม รวบรวมหลักการผ่านระบบอัตโนมัติ และปฏิบัติต่อความปลอดภัยในฐานะพลเมืองชั้นหนึ่ง นั่นหมายถึงการรักษาความปลอดภัยที่เกี่ยวข้องกับการพัฒนาแอปพลิเคชันตั้งแต่เริ่มต้น แทนที่จะส่งซอฟต์แวร์ที่เสร็จสมบูรณ์และบอกให้พวกเขารักษาความปลอดภัย
Brad Sollar ผู้จัดการฝ่ายพัฒนาธุรกิจดิจิทัลของ Presidio กล่าวว่า “ในพื้นที่ของรัฐบาลกลาง หมายถึงการทำความเข้าใจว่าอะไรจะเป็นอุปสรรคต่อการพัฒนาแอปพลิเคชันตามปกติ “เมธอดของ DevSecOps ยังใช้โค้ดสำหรับระบบอัตโนมัติและโครงสร้างพื้นฐาน ดังนั้นเมื่อคุณมีช่องโหว่จริง ๆ คุณจะมีความสามารถที่จะเข้าใจว่าสภาพแวดล้อมของคุณคืออะไร
และจะแก้ไขได้อย่างไรผ่านระบบอัตโนมัติ”
การนำสิ่งนี้ไปใช้ในหน่วยงานของรัฐบาลกลางมักต้องมีการศึกษา หรือแม้แต่การศึกษาซ้ำ เนื่องจากมันแตกต่างจากวิธีการทำสิ่งต่างๆ แบบเดิมมาก แต่คนที่เข้าร่วมกับ DevSecOps เป็นคนแรกคือคนที่ต้องการสร้างความแตกต่าง Sollar กล่าว
Evangelista กล่าวว่า “สิ่งที่ยอดเยี่ยมเกี่ยวกับการเปลี่ยนแปลงเหล่านี้ก็คือ “การเปลี่ยนแปลงเล็กๆ น้อยๆ สามารถสร้างความแตกต่างอย่างใหญ่หลวงได้ และพยายามค้นหาผลที่ตามมา พยายามใช้เวลาอย่างมีประสิทธิภาพ หาวิธีที่ดีกว่าในการทำให้ระบบรักษาความปลอดภัยเป็นแบบอัตโนมัติ การเปลี่ยนแปลงเล็กๆ และการเปลี่ยนแปลงครั้งใหญ่เหล่านั้นอาจเป็นการเปลี่ยนแปลงสำหรับเอเจนซี่”
ตัวอย่างเช่น Evangelista กล่าวว่าเขาเคยทำงานที่ Department of Homeland Security เมื่อ DHS พยายามตรวจหาผู้คนนับล้านที่ข้ามพรมแดนในแต่ละวันเพื่อคัดกรองผู้กระทำผิด มิลลิวินาทีมีความสำคัญ
และวิธีหลักในการประหยัดเวลานั้นอีกครั้งคือการรักษาความปลอดภัยที่เกี่ยวข้องตั้งแต่เริ่มต้น ในขั้นต้น หน่วยงานต้องการให้การรักษาความปลอดภัยมีข้อมูลสิ่งที่เรียกว่า “ภาพทอง” นี่อาจเป็นเครื่องเสมือน คอนเทนเนอร์ หรือแพ็คเกจประเภทอื่นที่ทุกคนเห็นพ้องกันว่าเป็นภาพที่ปลอดภัย ได้รับการรับรอง และผ่านการทดสอบแล้ว จากนั้นพวกเขาสามารถให้สิ่งนั้นแก่นักพัฒนาเป็นพื้นฐานและโดยพื้นฐานแล้วให้แนวป้องกันสำหรับการพัฒนาในอนาคต
“เมื่อคุณสามารถมีอิมเมจดิสก์สีทองเหล่านี้เป็นแพ็คเกจที่ได้รับการรับรองล่วงหน้าและได้รับการอนุมัติล่วงหน้าได้ จะช่วยลดเวลาที่คุณต้องใช้ในการทำแพ็คเกจการรับรองให้เสร็จ” Sollar กล่าว “ดังนั้นสิ่งที่จะช่วยได้คือการสร้างจากรากฐานที่ปลอดภัย”
การรับรองเหล่านี้มักจะอิงตามชุด 800 ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ซึ่งเป็นชุดการควบคุมทางเทคนิคที่ทุกคนต้องปฏิบัติตาม แต่ตามธรรมเนียมแล้ว การควบคุมเหล่านี้ต้องดำเนินการด้วยตนเองด้วยกระบวนการสเปรดชีตที่ยาวนาน การควบคุมเหล่านี้เป็นเป้าหมายที่สมบูรณ์สำหรับการทำงานอัตโนมัติ
“ตอนนี้คุณสามารถเขียนสคริปต์และเครื่องมือใหม่ ๆ ที่จะสร้างการแก้ไขการชุบแข็งเหล่านั้นโดยอัตโนมัติ ซึ่งยังสามารถช่วยคุณสร้างเอกสารในเวลาเดียวกัน” Sollar กล่าว “จริง ๆ แล้วมีผลิตภัณฑ์โอเพ่นซอร์สบางตัวอยู่ที่นั่น เช่น การควบคุมแบบเปิด ที่สามารถช่วยสร้างเอกสารประกอบได้เช่นกัน และนั่นจะช่วยให้พบกับหน่วยงานเฉพาะในการดำเนินการแพคเกจที่พวกเขาต้องปฏิบัติตาม”
แต่เทคโนโลยีโดยตัวของมันเองไม่ใช่ประเด็นของ DevSecOps มันเกี่ยวกับการเปลี่ยนแปลงคนและกระบวนการเพื่อให้ใช้เทคโนโลยีได้ดีขึ้นและส่งมอบได้เร็วขึ้น นั่นเป็นเหตุผลว่าทำไมจึงไม่มีโซลูชันชุดเดียวที่เหมาะกับทุกหน่วยงาน โซลาร์กล่าวว่า Presidio ช่วยให้หน่วยงานของรัฐบาลกลางเข้าใจวิธีการดำเนินงาน สิ่งที่ต้องการ และช่วยพัฒนาแผนการเพื่อไปให้ถึง
“เราสามารถเห็นได้ว่าลูกค้ามีชุดทักษะใดอยู่แล้ว กฎการปฏิบัติตามข้อกำหนดใดบ้างที่พวกเขาต้องปฏิบัติตาม ไม่ว่าจะเป็นภายในองค์กรหรือในระบบคลาวด์ ปัจจัยหลายอย่างที่เราสามารถนำมาใช้ได้ ช่วยสร้างโซลูชันที่ดีที่สุดสำหรับพวกเขาซึ่งจะไม่กลายเป็นชั้นวางสินค้า” โซลาร์กล่าว
