« BlueLakes:米国の200を超える警察等の269GBのハッキングされたデータが公開されているようですね。。。 | Main | ISACA White Paper : Supply Chain Resilience and Continuity - Closing Gaps Exposed in a Global Pandemic »

2020.06.24

DoDのDevSecOps

こんにちは、丸山満彦です。

ビジネス現場であっても、軍が使っている手法は理論的にはすごく参考になることが多いと思っています(予算上の問題でできないことが実際には多いのでしょうが・・・)。

米国の国防省が空軍を中心に培ってきたDevSecOpsの手法を全体に展開するように計画していますが、参考になるだろうと思って、私も勉強してみることにします。。。

最も、全てのソフトウェア開発をAgileでできるとは考えていないと思いますが、例えば95%くらいはできると考えているのでしょうかね。。。

私のイメージでは、木が全体のシステムとすると、幹や太い枝の部分は従来のWaterfallできっちり作り、枝葉の部分は柔軟にAgileなのかなと思います。ただ、Waterfallと言っても基本はCloud上に作られるので、Cloudはいわば土壌ですかね。。。幹の部分もAgileで作るとなると、なんとなくイメージとしては蔓植物な感じになりますかね。。。

 

● Defense Systems

・2020.06.17 DOD wants to overhaul its software development by 2025 by LAUREN C. WILLIAMS

● FCW

・2020.01.23 DOD plans for security-focused guidance for DevSecOps by Lauren C.

● DoD

・2019.08.19 [PDF] Enterprise DevSecOps Reference Design

ここ(空軍)は、とても有益な文書があります。。。全部はとても見切れないです。。。

● Air Force - Software

Platform One

Cloud one

・DSOP - Documents

主要な文書だけでも

DoD Enterprise DevSecOps Documents:

DoD Enterprise DevSecOps Container/Artifacts Repository:

ーーーー

Table of Contents

1 Introduction
1.1 Background
1.2 Purpose
1.3 Scope
1.4 Document Overview

2 Assumptions and Principles
2.1 Assumptions
2.2 Principles

3 DevSecOps Concepts
3.1 Key Terms
  3.1.1 Conceptual Model
3.2 DevSecOps Lifecycle
3.3 DevSecOps Pillars
  3.3.1 Organization
  3.3.2 Process
  3.3.3 Technology
  3.3.4 Governance
    3.3.4.1 Management Structure
    3.3.4.2 Authorizing Official
3.4 DevSecOps Ecosystem
  3.4.1 Planning
  3.4.2 Software Factory
  3.4.3 Operations
  3.4.4 External Systems

4 DevSecOps Tools and Activities
4.1 Planning Tools and Activities
4.2 Software Factory Tools and Activities
  4.2.1 CI/CD Orchestrator
  4.2.2 Develop
  4.2.3 Build
  4.2.4 Test
  4.2.5 Release and Deliver
4.3 Production Operation Tools and Activities
  4.3.1 Deploy
    4.3.1.1 Virtual Machine deployment
    4.3.1.2 Container deployment
  4.3.2 Operate
  4.3.3 Monitor
4.4 Security Tools and Activities Summary
4.5 Configuration Management Tools and Activities Summary
4.6 Database Management Tools and Activities Summary

5 DoD Enterprise DevSecOps Container Service
5.1 DoD Enterprise DevSecOps Container Factory
  5.1.1 DoD Hardened Containers
  5.1.2 Container Hardening Process
    5.1.2.1 Select the Container Base Image
    5.1.2.2 Harden the Container
    5.1.2.3 Store the Hardened Container
    5.1.2.4 Documentation
    5.1.2.5 Continuous Engineering
    5.1.2.6 Cybersecurity
5.2 DoD Centralized Artifact Repository

6 DevSecOps Ecosystem Reference Designs
6.1 Containerized Software Factory
  6.1.1 Hosting Environment
  6.1.2 Container Orchestration
  6.1.3 Software Factory Using Hardened Containers
  6.1.4 DoD Applications
6.2 Software Factory using Cloud DevSecOps Services
6.3 Serverless Support
6.4 Application Security Operations
  6.4.1 Continuous Deployment
  6.4.2 Continuous Operation
  6.4.3 Continuous Monitoring
  6.4.4 Sidecar Container Security Stack

7 Conclusion

Appendix A Acronym Table
Appendix B Glossary of Key Terms
Appendix C References

 

|

« BlueLakes:米国の200を超える警察等の269GBのハッキングされたデータが公開されているようですね。。。 | Main | ISACA White Paper : Supply Chain Resilience and Continuity - Closing Gaps Exposed in a Global Pandemic »

Comments

Post a comment



(Not displayed with comment.)




« BlueLakes:米国の200を超える警察等の269GBのハッキングされたデータが公開されているようですね。。。 | Main | ISACA White Paper : Supply Chain Resilience and Continuity - Closing Gaps Exposed in a Global Pandemic »