DevSecOps已經(jīng)獲得了相當(dāng)大的動力，它是將安全測試作為持續(xù)集成和持續(xù)部署/交付（CI/CD）流程的一部分進(jìn)行正式和整合的事實流程。通過將安全集成到CI/CD流程中，企業(yè)可以自動進(jìn)行安全測試，并在每次開發(fā)人員提交時觸發(fā)，避免作為一個門控流程的延遲或在最后附加。

CI/CD是現(xiàn)代軟件開發(fā)的核心，企業(yè)意識到需要將CI/CD管道實例化，以實現(xiàn)軟件交付過程的自動化和簡化。

國防部實現(xiàn)軟件開發(fā)的現(xiàn)代化

美國國防部（DoD）意識到現(xiàn)代軟件開發(fā)的轉(zhuǎn)變，正在進(jìn)行數(shù)字化轉(zhuǎn)型，以提高支持作戰(zhàn)人員和現(xiàn)場操作的任務(wù)敏捷性。每隔三到十年交付一次軟件能力，這使得我們無法跟上技術(shù)的步伐。因此，國防部發(fā)起了一項企業(yè)DevSecOps倡議，以實現(xiàn)其軟件交付方式的現(xiàn)代化和轉(zhuǎn)型。

該倡議由幾個部分組成，旨在加強軟件安全，改善基礎(chǔ)設(shè)施能力，簡化IT流程，并使合規(guī)流程現(xiàn)代化，以實現(xiàn)國防部范圍內(nèi)的持續(xù)運營授權(quán)。

作為國防部企業(yè)DevSecOps倡議的一部分，創(chuàng)建了一個授權(quán)、加固和認(rèn)證的最佳軟件開發(fā)工具和能力容器的中央庫房。這個被稱為 "Iron Bank "的中央存儲庫旨在降低國防部軟件項目中DevSecOps解決方案的使用門檻。

鑒于最近發(fā)生的SolarWinds漏洞事件中，CI/CD工具鏈和DevSecOps管道受到越來越多的威脅，國防部希望利用Iron Bank加快DevSecOps的采用，以確保所有國防部軟件項目的軟件交付過程。

Iron Bank資源庫將同時容納自由和開放源碼（FOSS）以及商業(yè)現(xiàn)成（COTS）的軟件開發(fā)工具。Iron Bank中的容器將根據(jù)該機構(gòu)的容器加固指南進(jìn)行加固，以便在整個國防部范圍內(nèi)實現(xiàn)跨分類的互惠。

Iron Bank的Parasoft SAST

國防部的軟件項目可以利用Parasoft C/C++test為其CI/CD管道和工具鏈提供動力，Parasoft C/C++test是最完整的C和C++靜態(tài)應(yīng)用安全測試（SAST）解決方案，它利用綜合分析技術(shù)（基于模式的分析、數(shù)據(jù)流分析和抽象解釋）來暴露通常導(dǎo)致網(wǎng)絡(luò)攻擊的關(guān)鍵漏洞。

它目前以dockerfile的形式托管在Iron Bank的GitHub上，目的是作為C/C++編譯器工具鏈的基礎(chǔ)鏡像。標(biāo)準(zhǔn)版和專業(yè)版都可以幫助國防部的軟件項目正式確定SAST和單元測試能力，作為其軟件測試的一部分。Parasoft認(rèn)識到，開發(fā)、部署和持續(xù)改進(jìn)軟件的能力對國防至關(guān)重要。

Parasoft C/C++測試是嵌入式軟件開發(fā)的理想選擇，可以幫助執(zhí)行和驗證安全和質(zhì)量合規(guī)標(biāo)準(zhǔn)，如通用弱點列舉（CWE）、CERT安全編碼標(biāo)準(zhǔn)、MISRA和AUTOSAR等，以及DISA STIG和OWASP的合規(guī)驗證。

最近的研究表明，軍事（國防）嵌入式系統(tǒng)市場規(guī)模預(yù)計將從2020年的14億增長到2025年的21億，2020年至2025年的年復(fù)合增長率為8.3%。

Parasoft意識到這一不斷增長的需求，并承諾投入大量資源，以確保我們的C/CC++test SAST解決方案能夠被容器化，以滿足國防部的加固和安全標(biāo)準(zhǔn)。這為Parasoft提供了一個獨特的機會，使其能夠與國防部的軟件項目合作，實現(xiàn)其數(shù)字化轉(zhuǎn)型的任務(wù)目標(biāo)，并使軟件開發(fā)實踐現(xiàn)代化，以快速提供有保障的軟件安全。

為您的DevSecOps建立Iron Bank

容器化Parasoft SAST解決方案為國防部軟件項目提供了以下好處：

在CI/CD管道中對開發(fā)人員提交的代碼變更進(jìn)行自動安全測試，以保持與軟件交付節(jié)奏同步。

提供將安全和合規(guī)性整合到DevOps工具和工作流程中的能力，以執(zhí)行安全和合規(guī)性標(biāo)準(zhǔn)，幫助告知風(fēng)險管理決策。

通過補救工作流程分析、詳細(xì)的發(fā)現(xiàn)報告、代碼覆蓋細(xì)節(jié)和報告分析，幫助改善開發(fā)人員和安全團(tuán)隊之間的合作，以確定什么是最重要的。

通過提供對安全測試中發(fā)現(xiàn)的風(fēng)險和指標(biāo)的實時可見性，支持持續(xù)運營授權(quán)（cATO）活動。這可用于擴(kuò)大國防部軟件項目的互惠性，以加速和告知cATO活動。

提供深入的分析反饋，整合到開發(fā)人員的工作中。