©2020 by O3S

  • O3S

Rancher convidada para projeto DevSecOps do Governo Americano

Atualizado: Fev 27

For English check the link at the bottom.


Iniciativa dos padrões do DevSecOps do Departamento de Defesa Americano pode ajudar a TI corporativa. A CNCF, os prestadores de serviços de defesa e os fornecedores de TI uniram forças com o Departamento de Defesa para estabelecer os padrões de segurança do NIST e as melhores práticas para o DevSecOps.

O Departamento de Defesa lançou um novo e importante esforço para publicar padrões de segurança e práticas recomendadas para DevSecOps do governo e potencialmente para TI corporativa, conforme relatou o SearchITOperations. O esforço é liderado por Nicolas Chaillan, diretor de software da Força Aérea dos EUA e co-líder da Enterprise DevSecOps Initiative no escritório do CIO do Departamento de Defesa (DoD). Chaillan disse que convidou mais de duas dúzias de empresas e entidades de código aberto para participar de sete subgrupos do projeto, incluindo Microsoft, Red Hat, VMware, StackRox, Pivotal, D2iQ, Linux Foundation, The Cloud Native Computing Foundation, Sysdig e Rancher. e Splunk. "[O Departamento de Defesa] geralmente tem um processo diferente, onde, por exemplo, a Red Hat pode criar orientações de segurança para RHEL ou OpenShift - geralmente é uma empresa, um produto", disse Chaillan. "Este será todo o ecossistema e comunidade Kubernetes - todas as distros, fornecedores e provedores de nuvem da Kubernetes com os quais trabalhamos".


A Cloud Native Computing Foundation, StackRox, Sysdig e Rancher confirmaram esta semana que estão participando do projeto, que não foi anunciado publicamente antes deste relatório e que ainda não possui nome formal. Outras empresas que Chaillan citou não puderam ser contatadas imediatamente para comentar. O colega do Instituto Nacional de Padrões e Tecnologia (NIST) Ronald S. Ross também está participando como co-líder com Chaillan, com planos de adicionar orientações do DevSecOps aos padrões existentes de engenharia de segurança de sistemas NIST SP 800-160 e publicar novos volumes que estabeleçam uma arquitetura de referência do DevSecOps. O NIST e o grupo de trabalho do DoD colaborarão nas melhores práticas e documentos de normas de segurança, com o objetivo de produzir um rascunho inicial dentro de 60 a 75 dias, disse Chaillan. O grupo usará um repositório Git para editar e manter os documentos, que serão acessíveis ao público. O NIST tem uma longa história de trabalho com organizações do setor público e privado para estabelecer padrões de segurança, mas o que torna esse esforço único é o foco na aplicação de padrões de segurança a um caso de uso específico no DevSecOps, disse Ross do NIST. "Antigamente, os militares e seus contratados construíam sistemas que eram usados ​​apenas para aplicações militares, o que lhes dava vantagem sobre adversários que não tinham a mesma tecnologia", afirmou Ross. "Mas houve uma explosão de tecnologia em que a maioria dos sistemas é de uso duplo, projetada para uso comercial e governamental - e os adversários têm a mesma tecnologia". Para proteger o país, o Departamento de Defesa deve estabelecer uma liderança no uso de tecnologias nativas da nuvem e aprender a ficar à frente dos adversários com as melhores práticas, em vez de contar com uma vantagem técnica absoluta, afirmou Ross. "Este é o projeto mais importante com o qual me envolvi em mais de 30 anos no campo da segurança cibernética", acrescentou.


Um modelo potencial de DevSecOps para empresas: Como agências governamentais e empresas do setor privado usam cada vez mais as mesmas tecnologias de código aberto, muitas empresas comerciais olham para o governo, particularmente o Departamento de Defesa, como o padrão de ouro para a segurança cibernética, disse um consultor de TI. "Há um ditado, 'ninguém nunca foi demitido por usar a IBM'", disse Jeremy Pullen, consultor técnico principal da Polodis, uma empresa de consultoria em transformação digital em Atlanta, que acompanha de perto o trabalho do DevSecOps do DoD, incluindo um repositório recentemente publicado de imagens de contêineres hardened para uso geral. "Existe uma confiança semelhante no uso de sistemas hardened pelos padrões do governo dos EUA". Pullen disse que a amplitude da colaboração também ajudará a legitimar o conceito do DevSecOps como um conjunto de práticas, em vez de vinculá-lo a qualquer ferramenta, fornecedor ou método específico usado por equipes específicas de TI da empresa. "Nos últimos dois anos, tive que educar as pessoas sobre o que o DevSecOps é ou não - não é apenas o uso de uma ferramenta da White Hat, Sonatype ou Veracode", disse ele. "Isso mostra uma imagem melhor do DevSecOps como uma área de prática, em vez de apenas implementar o produto de alguém". O esforço também ajudará o governo a adquirir mais facilmente novas tecnologias, que podem se traduzir em abordagens de compras corporativas, disse Pullen. Esse projeto reflete uma mudança na abordagem do governo federal à tecnologia, bem como uma mudança geral em direção ao software de código aberto e compartilhamento de conhecimento de código aberto em todo o setor de TI, disse Shannon Williams, co-fundador e presidente da Rancher, cuja equipe federal funcionará nos padrões de segurança do Kubernetes. Outros padrões abertos, como os benchmarks do Center for Internet Security (CIS), já existem para esse fim, mas este projeto melhorará a maneira como eles estão vinculados a outras ferramentas do DevSecOps e refinará o desenvolvimento de software seguro, disse Williams. "Não se trata apenas de fortalecer o Kubernetes - é sobre como construir uma fábrica de software segura", disse ele. "É sobre como operar o Kubernetes, em um conjunto de documentos vivos que podem mudar à medida que novas tecnologias surgem". Além do fortalecimento de contêineres e Kubernetes para uso do DevSecOps, uma das sub-equipes do projeto DoD padronizará um processo que gera autoridade contínua para operar para cada alteração de software produzida por uma agência governamental. É uma prática que a Força Aérea já implementou sob Chaillan, o que significa que as alterações de software podem ser implantadas rapidamente na produção sem passar por uma longa auditoria de segurança a cada vez. Chaillan estima que esse processo eliminou 100 horas de atraso de implantação para sua equipe no ano passado, e a equipe pode fazer várias alterações de software totalmente credenciadas por dia.


Fonte: https://searchitoperations-techtarget-com.cdn.ampproject.org/c/s/searchitoperations.techtarget.com/news/252478994/Massive-DoD-DevSecOps-standards-push-may-aid-enterprise-IT?amp=1




170 visualizações