« カリフォルニア州のContact tracingアプリの説明 | Main | 政府CIOポータル 接触確認アプリに関する仕様書等の公表 »

2020.05.26

防衛やその他高度に規制された環境下でのSoS (Sysytems of Systems)のDevSecOps導入ガイド by カーネギー・メロン大学

こんにちは、丸山満彦です。

防衛やその他高度に規制された環境下でのSoS (Sysytems of Systems)のDevSecOps導入ガイドが、Carnegie Mellon University Software Engineering Instituteにより公表されていました(at 2020.04)

● Carnegie Mellon University (CMU) - Software Engineering Institute (SEI)

・2020.04.08 Guide to Implementing DevSecOps for a System of Systems in Highly Regulated Environments

この技術報告書は、システム・オブ・システム (SoS) [wikipedia][SEBoK]を含む防衛やその他高度に規制された環境下での DevSecOps (DSO) の実装に関心のあるプロジェクトのためのガイダンスを提供する。

...

このガイダンスでは、DSO を採用する根拠と、その採用に必要な変化の次元を提供しています。また、DSO、その原則、運用、および期待される便益について紹介している。さらに、準備、確立、管理を含むDSOエコシステムを実施するために必要な目的と活動について説明している。準備は、達成可能な目標と期待を作成し、エコシステムを構築するための実行可能な増分を確立するために必要である。エコシステムの確立には、文化、自動化、プロセス、システムアーキテクチャを初期状態から初期能力に向けて進化させることが含まれる。エコシステムの管理には、エコシステムの健全性と組織のパフォーマンスの両方を測定し、監視することが含まれる。また、DSOアプローチの概念的基盤に関する追加情報も提供している。

・[PDF]

ーーーーー

また、以下のブログには、上記の話題の他、未来のサイバーセキュリティ:サイバー犯罪、サイバーセキュリティ成熟度モデル評価の話、信頼できるAIの設計などのCMUのブログが紹介されています。

・2020.05.25 The Latest Work from the SEI: DevSecOps, Artificial Intelligence, and Cybersecurity Maturity Model Certification by Douglas C. Schmidt

 

Cmu_20200527000001 

報告書の目次と概要 ↓

Table of Contents

Executive Summary
Abstract

1 Introduction
1.1 Using the Guide
1.2 Scope

2 The DSO Concept
2.1 DSO Principles
 2.1.1 Collaboration
 2.1.2 Infrastructure as Code (IaC)
 2.1.3 Continuous Integration
 2.1.4 Continuous Delivery
 2.1.5 Continuous Deployment
 2.1.6 Environment Parity
 2.1.7 Automation
 2.1.8 Monitoring
2.2 DevOps Pipelines
2.3 HREs and DSO Security
 2.3.1 HRE Challenges
 2.3.2 HRE Considerations
2.4 SoS and DSO
 2.4.1 Types of SoS
 2.4.2 SoS Considerations
 2.4.3 SoS Integrated Testing

3 Adoption Overview

4 Prepare for Adoption
4.1 Objective: Establish Your Vision
 4.1.1 Activity: Identify/Build Your Vision
4.2 Objective: Determine Readiness to Adopt DSO
 4.2.1 Activity: Understand Your Context
 4.2.2 Activity: Implement the Readiness and Fit Analysis Process
4.3 Objective: Develop an Adoption/Transition Strategy
 4.3.1 Activity: Identify Your DSO Adoption Goal(s)
 4.3.2 Activity: Establish the Initial Adoption Scope
 4.3.3 Activity: Propose Change (Transition) Mechanisms
 4.3.4 Example: JIDO DSO Strategy Summary
4.4 Objective: Plan Your Next Adoption Activities
 4.4.1 Activity: Identify Resources
 4.4.2 Activity: Develop a Backlog and Initial Increment Map
 4.4.3 Activity: Develop a Communications Plan

5 Establishing the DSO Ecosystem
5.1 Objective: Change the Culture
 5.1.1 Activity: Monitor Cultural Change Progress
 5.1.2 Activity: Influence Change
5.2 Objective: Build a DSO Pipeline
 5.2.1 Activity: Consolidate Pipeline Requirements
 5.2.2 Activity: Identify and Acquire Needed Components
 5.2.3 Activity: Install and Launch the Pipeline
 5.2.4 Activity: Test the Pipeline
 5.2.5 Activity: Reassess Your DSO Posture
5.3 Objective: Conduct Trial Use
 5.3.1 Activity: Select Pilot Tasks/Projects/Work
 5.3.2 Activity: Conduct Pilot Tasks/Projects/Work
 5.3.3 Activity: Reassess Your DevOps Posture

6 Manage and Evolve the Ecosystem
6.1 Objective: Monitor the Ecosystem
 6.1.1 Activity: Establish a Measurement Program
 6.1.2 Activity: Regularly Reassess Your DSO Technical and Cultural Posture
6.2 Objective: Extend DSO (Institutionalize)
 6.2.1 Activity: Establish Formalization Goals
 6.2.2 Activity: Document and Train Personnel

7 Concepts, Principles, and Tools
7.1 Technology Adoption and Culture Change
 7.1.1 Difficulty of Change
 7.1.2 A Change Model (Satir)
 7.1.3 Adoption Commitment Curve (Patterson-Conner)
 7.1.4 Finding/Selecting Pilot Projects
 7.1.5 Adopter Analysis
7.2 Lean and Agile
 7.2.1 Principles
7.3 Systems Engineering
 7.3.1 Architecture
7.4 Value Stream and Network Visualizations
7.5 Policy

Appendix A: Collected Activity Summaries
Appendix B: Additional SEI DSO Resources
References

-----

概要


Executive Summary

This document provides guidance for implementing DevSecOps (DSO) in defense or other highly regulated environments, including systems of systems. It provides information about DSO, its principles, operations, and expected benefits. It describes objectives and activities that are needed to implement the DSO ecosystem, including adopting the culture, deploying technology, and adapting processes.

Section 1 introduces the rationale for adopting DevSecOps, the dimensions of change required for that adoption, and the scope of this document.

Section 2 defines the DSO concept, key principles, and its operation. Special DSO concerns raised in high-risk environments (HREs) and SoS environments are also addressed.

Section 3 is an overview of the adoption guidance.

Sections 4-6 describe the activities for adopting DSO. The core of the guide, they address three major efforts: Preparation, Establishment, and Management.

Preparation is necessary to create achievable goals and expectations and to establish feasible increments for building the ecosystem. This includes considering the distance between where you are and where you want to be, and understanding the effort necessary to travel that path.

Establishing the ecosystem includes evolving the culture, automation, processes, and system architecture from their initial state toward an initial capability.

Managing the ecosystem includes measuring and monitoring both the health of the ecosystem and the performance of the organization. The intent is to evolve the ecosystem toward a desired state in a manner that balances speed with depth, minimizes unnecessary rework, and constantly revalidates and adapts the desired state.

Appendix A is a collection of the activity summaries.

• Appendix B contains references on technical subjects, change management approaches, and more advanced DSO information and guidance.

20200526-232936_20200527000501 

As illustrated, activities are not necessarily sequential—some are dependent on other activities, and some may be done simultaneously. The descriptions are general enough to support adaptation to varied environments.

Section 7 is a compendium of information on the concepts and principles that provide the foundation for DSO adoption—Technology Adoption, Culture Change, Lean and Agile, Systems Engineering, and others—to introduce the concepts and show how they relate to DSO success.

 


エグゼクティブ・サマリー

この報告書は、システム・オブ・システムを含む防衛またはその他の高度に規制された環境で DevSecOps を導入するためのガイダンスを提供する。DSO、その原則、運用、期待される利益についての情報を提供する。文化の採用、技術の導入、プロセスの適応など、DSO エコシステムを実装するために必要な目的と活動について説明している。

第1章は、DevSecOps を採用する根拠、その採用に必要な変化の次元、およびこのドキュメントの範囲を紹介している。

2章は、DSOの概念、主要な原則、およびその運用を定義している。高リスク環境 (HREs) および SoS 環境で提起された特別な DSO の懸念にも対応している。

第3章は、採用ガイダンスの概要を説明している。

46章は、DSOを採用するための活動について述べている。ガイドの中核となるこれらの項目では、以下の「準備」「確立」「管理」という3つの段階を取り上げている。

- 「準備」は、達成可能な目標と期待を作り、生態系を構築するための実行可能な増分を設定するために必要なものである。これには、現状とあるべき状況との距離を考慮し、その道のりを進むために必要な努力を理解することが含まれる。

- エコシステムの「確立」は、文化、自動化、プロセス、システムアーキテクチャを初期状態から初期能力に向けて進化させることが含まれる。

- エコシステムの「管理」は、エコシステムの健全性と組織のパフォーマンスの両方を測定し、監視することが含まれる。その目的は、スピードと深度のバランスをとり、不必要な再作業を最小限に抑え、常に再検証し、望ましい状態に適応させる方法で、エコシステムを望ましい状態に向けて進化させることである。

- 付録Aは、活動の概要をまとめたものである。

- 付録Bは、技術的な主題、変更管理アプローチ、およびより高度なDSOの情報とガイダンスに関する参考文献を含んでいる。

1_20200527000301

図示されているように、活動は必ずしも連続しているわけではない-いくつかは他の活動に依存しており、いくつかは同時に行われる可能性がある。説明は、様々な環境への適応をサポートするのに十分な一般的なものである。

7章は、DSO採用の基礎を提供する概念と原則に関する情報の大要である-技術の採用、文化の変化、リーンとアジャイル、システム工学など-概念を紹介し、それらがDSOの成功にどのように関連するかを示す。

|

« カリフォルニア州のContact tracingアプリの説明 | Main | 政府CIOポータル 接触確認アプリに関する仕様書等の公表 »

Comments

Post a comment



(Not displayed with comment.)




« カリフォルニア州のContact tracingアプリの説明 | Main | 政府CIOポータル 接触確認アプリに関する仕様書等の公表 »