详细内容或原文请订阅后点击阅览
持续运营授权模式的可实现性如何?
保持最新状态需要敏捷的开发实践,能够无缝集成并交付高质量的软件,同时降低风险。
来源:美国国防新闻网__观点软件是军事任务的重要组成部分,但长期以来,国防部的安全合规程序阻碍了各组织向作战人员提供相关软件功能。
任务要求和网络威胁瞬息万变。保持最新状态需要敏捷的开发实践,以持续集成和交付具有低风险的高质量软件。安全授权应该同样灵活,但反复寻求操作授权 (ATO) 非常耗时。等待 ATO 并进行评估通常是部署软件过程中耗时最长的一步。这些延迟可能会产生重大后果,尤其是在战场上。
有更好的方法来管理信息系统的风险。国防部官员最近发布了 DevSecOps 持续授权实施指南,其中概述了持续操作授权 (cATO) 模型的原则。系统获得初始授权后,正确实施 cATO 和持续授权是该部门构建更快、更安全的开发环境并实现软件霸权愿景的基本步骤。
DevSecOps 持续授权实施指南什么是 cATO?
获得传统 ATO 需要对安全控制进行即时检查,这可能会持续数月。新功能推出或授权到期时,该操作会重复进行。与此同时,网络对手继续揭露新威胁。
cATO 是在获得初始授权后持续交付的持续授权。如果组织能够根据批准的安全控制持续监控新系统功能,则它允许组织构建和发布新系统功能。为了实现 cATO,国防部确定了组织必须满足的三个标准:
— 持续监控安全控制。
— 主动网络防御措施。
— 采用 DevSecOps 实践。
风险管理框架 Bryon Kroger