DoDのDevSecOps

こんにちは、丸山満彦です。

ビジネス現場であっても、軍が使っている手法は理論的にはすごく参考になることが多いと思っています（予算上の問題でできないことが実際には多いのでしょうが・・・）。

米国の国防省が空軍を中心に培ってきたDevSecOpsの手法を全体に展開するように計画していますが、参考になるだろうと思って、私も勉強してみることにします。。。

最も、全てのソフトウェア開発をAgileでできるとは考えていないと思いますが、例えば95％くらいはできると考えているのでしょうかね。。。

私のイメージでは、木が全体のシステムとすると、幹や太い枝の部分は従来のWaterfallできっちり作り、枝葉の部分は柔軟にAgileなのかなと思います。ただ、Waterfallと言っても基本はCloud上に作られるので、Cloudはいわば土壌ですかね。。。幹の部分もAgileで作るとなると、なんとなくイメージとしては蔓植物な感じになりますかね。。。

 

● Defense Systems

・2020.06.17 DOD wants to overhaul its software development by 2025 by LAUREN C. WILLIAMS

↓

● FCW

・2020.01.23 DOD plans for security-focused guidance for DevSecOps by Lauren C.

↓

● DoD

・2019.08.19 [PDF] Enterprise DevSecOps Reference Design

ここ（空軍）は、とても有益な文書があります。。。全部はとても見切れないです。。。

● Air Force - Software

・Platform One

・Cloud one

・DSOP - Documents

主要な文書だけでも

DoD Enterprise DevSecOps Documents:

• DoD Enterprise DevSecOps Initiative – Introduction v5.0 (updated: 05/26/20)
• DoD Enterprise DevSecOps Initiative – Ref Design 1.0
• DoD Enterprise DevSecOps Initiative – Maturity Review v1.6
• DoD Enterprise DevSecOps Initiative – Hardening Container Document v2.3
• DoD Enterprise DevSecOps Initiative – Moving to Microservices Document v1.3
• DoD Enterprise DevSecOps Initiative – Pipeline Description Document v1.2
• DevStar Initiative
• Trying to pick a Kubernetes distro? Use our Kubernetes Matrix!

DoD Enterprise DevSecOps Container/Artifacts Repository:

• Repo One – DoD Centralized Source Code Repository (DCCSCR)
• Repo One – DoD Container On-boarding Guide
• Iron Bank – DoD Centralized Artifacts Repository (DCAR)
• DSAWG DevSecOps Working Group (living documents)

ーーーー

Table of Contents

1 Introduction
1.1 Background
1.2 Purpose
1.3 Scope
1.4 Document Overview

2 Assumptions and Principles
2.1 Assumptions
2.2 Principles

3 DevSecOps Concepts
3.1 Key Terms
  3.1.1 Conceptual Model
3.2 DevSecOps Lifecycle
3.3 DevSecOps Pillars
  3.3.1 Organization
  3.3.2 Process
  3.3.3 Technology
  3.3.4 Governance
    3.3.4.1 Management Structure
    3.3.4.2 Authorizing Official
3.4 DevSecOps Ecosystem
  3.4.1 Planning
  3.4.2 Software Factory
  3.4.3 Operations
  3.4.4 External Systems

4 DevSecOps Tools and Activities
4.1 Planning Tools and Activities
4.2 Software Factory Tools and Activities
  4.2.1 CI/CD Orchestrator
  4.2.2 Develop
  4.2.3 Build
  4.2.4 Test
  4.2.5 Release and Deliver
4.3 Production Operation Tools and Activities
  4.3.1 Deploy
    4.3.1.1 Virtual Machine deployment
    4.3.1.2 Container deployment
  4.3.2 Operate
  4.3.3 Monitor
4.4 Security Tools and Activities Summary
4.5 Configuration Management Tools and Activities Summary
4.6 Database Management Tools and Activities Summary

5 DoD Enterprise DevSecOps Container Service
5.1 DoD Enterprise DevSecOps Container Factory
  5.1.1 DoD Hardened Containers
  5.1.2 Container Hardening Process
    5.1.2.1 Select the Container Base Image
    5.1.2.2 Harden the Container
    5.1.2.3 Store the Hardened Container
    5.1.2.4 Documentation
    5.1.2.5 Continuous Engineering
    5.1.2.6 Cybersecurity
5.2 DoD Centralized Artifact Repository

6 DevSecOps Ecosystem Reference Designs
6.1 Containerized Software Factory
  6.1.1 Hosting Environment
  6.1.2 Container Orchestration
  6.1.3 Software Factory Using Hardened Containers
  6.1.4 DoD Applications
6.2 Software Factory using Cloud DevSecOps Services
6.3 Serverless Support
6.4 Application Security Operations
  6.4.1 Continuous Deployment
  6.4.2 Continuous Operation
  6.4.3 Continuous Monitoring
  6.4.4 Sidecar Container Security Stack

7 Conclusion

Appendix A Acronym Table
Appendix B Glossary of Key Terms
Appendix C References