การรักษาความปลอดภัยซอฟต์แวร์

การรักษาความปลอดภัยซอฟต์แวร์

หน่วยงานต่างๆ ใช้เวลาส่วนใหญ่ในช่วงห้าปีที่ผ่านมาในการคลานออกจากแนวทางน้ำตกเพื่อพัฒนาซอฟต์แวร์และเดินไปสู่แนวทางการพัฒนา ความปลอดภัย และการดำเนินงาน (DevSecOps) หรือในบางกรณีเหตุผลสำหรับการเปลี่ยนแปลงนี้ชัดเจนเสมอ: เพื่อปรับปรุงความสามารถในการแข่งขัน ความสามารถในการเคลื่อนไหวอย่างรวดเร็ว และท้ายที่สุดเพื่อจัดการกับการขยายตัวทางดิจิทัลที่ส่งผลให้เกิดหนี้สินทางเทคนิคจำนวนมาก

เมื่อเร็ว ๆ นี้ คณะผู้เชี่ยวชาญของรัฐบาลกลางและอุตสาหกรรม

ได้นำเสนอข้อมูลเชิงลึกว่า DevSecOps และการใช้ซอฟต์แวร์โอเพ่นซอร์สช่วยขับเคลื่อนหน่วยงานไปสู่ชุดแอปพลิเคชันที่ปลอดภัย คล่องตัว และทันสมัยมากขึ้นได้อย่างไร

Angel Phaneuf หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ Army Software Factory กล่าวว่าการสร้างกระบวนการพัฒนาซอฟต์แวร์ที่ประสบความสำเร็จนั้นเกี่ยวข้องกับชิ้นส่วนต่างๆ มากมายที่จะต้องมารวมกันเป็นหนึ่งเดียว

“ปัจจัยแรกคือต้องแน่ใจว่าเราไม่มีเครื่องมือที่เหมาะกับความต้องการหรือกรณีการใช้งานของคุณอยู่แล้ว เพราะการแพร่ระบาดทางดิจิทัลเป็นปัญหาและอาจควบคุมไม่ได้อย่างรวดเร็ว” ฟาเนิฟกล่าวระหว่างการอภิปราย การพัฒนาที่ปลอดภัยของรัฐบาลกลาง ห่วงโซ่อุปทานของซอฟต์แวร์ “อีกปัจจัยหนึ่งคือการทำความเข้าใจรูปแบบสิทธิ์การใช้งานและความสามารถในการปรับขนาด แม้ว่าซอฟต์แวร์บางตัวจะได้รับการร้องขอจากทีมเดียวหรือคนเดียว เราต้องแน่ใจว่าเราคำนึงถึงความเป็นไปได้ที่ทั้งองค์กรจะนำสิ่งนี้ไปใช้ . เราได้ผ่านหลายรอบเพื่อพิจารณาว่าวิธีใดเป็นวิธีที่ถูกต้องเมื่อมีคนเข้ามาและใช้เครื่องมือใหม่”

เธอกล่าวว่าปัจจัยสำคัญประการที่สามคือเอกสาร ซึ่งรวมถึงทุกอย่างตั้งแต่ข้อเสนอแนะจากนักพัฒนา วิศวกร และผู้เชี่ยวชาญด้านความปลอดภัย ไปจนถึงระบบการให้คะแนนเพื่อให้แน่ใจว่าผลิตภัณฑ์เป็นไปตามการควบคุมและความเข้มงวดที่กองทัพต้องการ

มองหาความสามารถที่แปลกใหม่

ความพยายามของ Black Pearl ของกองทัพเรือซึ่งเป็นเครื่องมือและผู้ให้บริการความช่วยเหลือ DevSecOps มากกว่าโรงงานซอฟต์แวร์ มีข้อกำหนดเกี่ยวกับวิธีการพัฒนาและใช้งานซอฟต์แวร์น้อยกว่า

Manuel Gauto หัวหน้าวิศวกรของ Black Pearl for the Department of Navy กล่าวว่าความปลอดภัย ประสบการณ์ของผู้ใช้ และการบูรณาการโดยรวมเป็นปัจจัยสำคัญที่ประกอบกันเป็นกระบวนการซอฟต์แวร์ที่ประสบความสำเร็จ

“สิ่งที่เราพยายามทำกับ Black Pearl ไม่ใช่แค่เชื่อมต่อหน่วยงานที่มีประสิทธิภาพสูงภายในฐานอุตสาหกรรมการป้องกันแบบดั้งเดิมเท่านั้น แต่ยังนำบุคลากรที่มีความสามารถใหม่ในด้านการค้าซึ่งเราสามารถซื้อได้ในรูปแบบห่อหุ้มตัวเอง ความสามารถแล้วสร้างส่วนต่อประสานที่เรียบง่ายขึ้นกับส่วนที่เหลือของระบบนิเวศที่เรากำลังพยายามสร้าง” เขากล่าว “ท้ายที่สุดแล้ว กรมอู่ทหารเรือไม่ได้อยู่ในธุรกิจการสร้างเครื่องสแกนซอร์สโค้ดหรือเครื่องสแกนวัตถุโบราณ เราสร้างขีดความสามารถที่เป็นความสามารถในการสู้รบบนเรือดำน้ำหรือเรือรบ ดังนั้นเราจึงพยายามจัดสรรทรัพยากรของเราอย่างต่อเนื่องอย่างชาญฉลาดที่สุดเท่าที่จะเป็นไปได้”

ซึ่งหมายถึงกองทัพบก กองทัพเรือ และแม้แต่กระทรวงการต่างประเทศที่ใช้โอเพ่นซอร์สโค้ดเพื่อช่วยเร่งความสามารถบางอย่าง

Landon Van Dyke ที่ปรึกษาด้านเทคโนโลยีอาวุโสของกระทรวงการต่างประเทศกล่าวว่ามีเครื่องมือรักษาความปลอดภัยและการควบคุมดูแลที่จำเป็นเพื่อให้แน่ใจว่าซอฟต์แวร์โอเพ่นซอร์สมีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้

“ในระดับองค์กร เมื่อเราประเมินบริษัทหรือผลิตภัณฑ์ เรากำลังประเมินบริษัทด้วยตัวมันเอง เราเริ่มต้นด้วยกระบวนการจัดซื้อจัดจ้าง เราดูว่าสุขภาพทางการเงินของพวกเขาเป็นอย่างไร สิ่งที่พวกเขากำลังทำในตลาด หุ้นส่วนของพวกเขาคือใคร เห็นได้ชัดว่าหากเป็นในต่างประเทศนั้นมีความสำคัญอย่างยิ่งสำหรับกระทรวงการต่างประเทศ” ฟาน ไดค์ กล่าว “สิ่งหนึ่งที่เรากำลังมองหาซอฟต์แวร์จริงๆ ก็คือซอร์สโค้ด เรากำลังดูสิ่งต่างๆ เช่น การแทรก การพิสูจน์ตัวตน และการจัดการเซสชัน ซึ่งต้องใช้ความซับซ้อนเล็กน้อยในการประเมินด้วยเครื่องมือปัญญาประดิษฐ์”

credit : ฝากถอนไม่มีขั้นต่ำ