前言
美国防部首席信息官4月11日发布《DevSecOps 持续授权实施指南》,旨在指导美国国防机构实现持续授权操作(cATO),以操作由软件工厂生产的DevSecOps平台和其他应用程序,从而对抗网络威胁。
该指南文件指出,美国防部必须使其软件开发和交付方法现代化,以跟上不断变化的威胁,从而能够以相关的速度提供弹性软件功能;这种敏捷现代化的一个不可或缺的方面是能够通过持续集成和提供网络安全、弹性和生存能力来快速响应不断变化的威胁;当前的网络安全环境要求美国防部摒弃时间点评估和授权,转向持续监控和评估风险,使用安全自动化和安全态势仪表板来帮助管理近乎实时的网络安全风险;快速交付新功能需要一个能够跟上开发能力的持续变化的授权流程cATO,cATO不再采用控制评估时间点方法,而是通过经过论证的持续评估、监控和风险管理来专注于持续风险确定和授权;该文件重点关注对由包含DevSecOps平台的软件工厂生产的应用程序软件进行持续评估和授权,确定了持续授权的关键实践,并提供了评估组织进入持续授权的方法。
一、介绍
“用于报告安全事件的实时或近实时数据分析对于实现应对当今网络威胁和在竞争性空间中运行所需的网络安全水平至关重要。”
– 《持续授权操作( cATO )备忘录》。
当今的紧迫需求要求我们能够敏捷地响应不断变化的任务需求,比传统的美国防部流程更快地交付能力。为实现如此快速的速度,业界已开始使