1.3.3 DoD实践型模型

DoD是美国国防部英文名称Department of Defense的缩写,2019年美国国防部为了推动国防部企业DevSecOps的落地,发布了一系列的DevSecOps实践规范。因为它是一套独立的、成体系化的指导DevSecOps落地的文件,所以在这里把它归类为DevSecOps的实践型参考模型。

1. DoD DevSecOps体系文件构成

在美国国防部的官网上,对外公开了其DevSecOps体系文件的目录,从这份目录来看一下其文件构成,如图1-15所示。

图1-15 DoD DevSecOps体系文件目录

从图1-15的目录结构可以看出,整个体系文件由DevSecOps V2.1规范说明、DevSecOps实施指南、DevSecOps参考设计、云原生接入、开源软件安全5个部分组成,每一个部分又分别包含不同的文件。从体系文件管理上来看,DevSecOps V2.1规范说明属于一级文件,定义了DevSecOps总体方针、策略和基本操作要求;DevSecOps实施指南属于二级文件,主要定义了DevSecOps中的关键活动、工具及操作指导;DevSecOps设计参考、云原生接入、开源软件安全均属于三级文件,为具体的安全设计提供参考指引。

从当前业界已公开的DevSecOps资料来看,DoD DevSecOps体系文件具有很高的实践参考价值,可以作为大多数企业开展DevSecOps工作的首选指导书。

2. DoD DevSecOps实践价值

美国国防部为了能够更迅速地应对安全战争与威胁,让新功能快速进场,通过内嵌安全到应用程序来解决此类问题,决定使用DevSecOps模型。意图通过DevSecOps文化,改变国防部IT部门中各个不同组织之间的协作流程、生产制造和运营维护,统一标准和要求,以加快从需求分析到成品交付的过程。

这套文件的技术栈是为美国国防部定制的,从图1-15公开的文件目录中包含云原生接入点、K8s、AWS等也可以看出,此技术栈不是面向公众全员的,仅是面向美国国防部企业的。但这份文件中涉及的技术概念、DevSecOps能力构成、落地保障措施等都将对DevSecOps的大范围应用产生深远的影响。

文件中首次对DevSecOps生态系统做了更具体的解释,除了包含一直被业界推崇的黄金管道之外,还有软件工厂、安全工具链及周边支持生态系统,如图1-16所示。

图1-16 DoD DevSecOps生态系统

在工具链方面,文件中直接用DevSecOps替代DevOps,或者说在这份文件里认为,DevOps的未来就是DevSecOps。它给出更大范围的活动与工具选择的概览,以及活动的输入、输出、活动收益等,涵盖计划、开发、构建、测试、发布、交付、部署、操作和监控的每个阶段。在实践保障方面,文件中阐述了组织、流程、技术和治理为DoD DevSecOps的四大支柱,如图1-17所示。

在持续改进方面,文件定义了DoD DevSecOps的成熟度模型,对DevSecOps的能力一共划分为9个层级,如图1-18所示。

总之,作为第一份业界公开的DevSecOps落地实践资料,DoD DevSecOps实践型模型为业界提供了详细的参考资料,并从文件体系构建、技术路线选择、DevSecOps平台选型等多个方面为业界提供最佳实践参考样例。

图1-17 DoD DevSecOps的四大支柱

图1-18 DoD DevSecOps成熟度模型