CMS นำหน้าจากกองทัพอากาศเกี่ยวกับการพัฒนาซอฟต์แวร์ที่คล่องตัว

CMS นำหน้าจากกองทัพอากาศเกี่ยวกับการพัฒนาซอฟต์แวร์ที่คล่องตัว

ศูนย์บริการ Medicare และ Medicaid อยู่ท่ามกลาง “การโจมตีอย่างเต็มที่” เพื่อปรับปรุงวิธีการอนุมัติความปลอดภัยของซอฟต์แวร์และแอปพลิเคชัน และหน่วยงานกำลังจำลองแนวทางตาม “แพลตฟอร์มหนึ่ง” ของกองทัพอากาศตาม หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลCMS CISO Robert Wood กล่าวว่าหน่วยงานดังกล่าวกำลังเผชิญกับ “แรงเสียดทานที่เป็นภาระ” ของกระบวนการที่มีอำนาจในการดำเนินการที่เชื่องช้าและนโยบายด้านความปลอดภัยอื่นๆ จากหลายแง่มุม

“เราจะไม่แก้ปัญหาทั้งหมดของเราด้วยโปรเจ็กต์ใหญ่เพียงโปรเจ็กต์เดียว”

 วูดกล่าวระหว่างการสัมมนาผ่านเว็บเมื่อวันที่ 18 กุมภาพันธ์ ซึ่งจัดโดย ACT-IAC Cybersecurity Community of Interest “แต่เราจะโจมตีมันจากหลายด้านและล้อมเป็นฝูง”Wood กล่าวว่า ความคิดริเริ่มดังกล่าวได้ดำเนินการอย่างเร่งด่วนมากขึ้น เนื่องจาก CMS เป็นศูนย์กลางของความคิดริเริ่มระดับชาติเพื่อตอบสนองต่อ COVID-19, การแพร่ระบาดของฝิ่น และวิกฤตด้านการดูแลสุขภาพอื่นๆ

        ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps

“เราต้องสามารถเปลี่ยนแปลงในฐานะสถาบันในเวทีการรักษาพยาบาลให้เร็วขึ้น มีเสถียรภาพมากขึ้น มากขึ้นกว่าเดิม” เขากล่าว

เขากล่าวว่าความพยายามครั้งใหญ่ครั้งแรกของเอเจนซี่นั้นเน้นที่กระบวนการ “ATO ที่รวดเร็ว” เพื่อช่วยให้ทีมพัฒนาแอปพลิเคชันสร้างแผนการรักษาความปลอดภัยระบบได้เร็วขึ้น CMS ใช้คำอธิบายการควบคุมที่ใช้ซ้ำได้และข้อความควบคุมที่เขียนไว้ล่วงหน้าสำหรับเทคโนโลยีที่ผ่านการตรวจสอบแล้ว เช่น การจัดการการระบุ ดังนั้นทีมจึงไม่ต้องเริ่ม ATO ด้วยกระดานว่างเปล่าทุกครั้ง

ในที่สุด Wood กล่าวว่า CMS ต้องการรวม Software Bills of Materials

 และเครื่องมือระบุสินทรัพย์อื่น ๆ ในกระบวนการ “ซึ่งเราสามารถระบุส่วนประกอบของระบบได้โดยอัตโนมัติ จากนั้นเติมข้อมูลจำนวนมากให้กับคุณ”

ประการที่สอง ความพยายามที่เกี่ยวข้องคือการพัฒนาแพลตฟอร์มในฐานะบริการสำหรับการพัฒนาซอฟต์แวร์ CMS Wood กล่าวว่าหน่วยงานกำลังจำลองความพยายามของตนหลังจาก “Platform One” ซึ่งเป็นสภาพแวดล้อมการพัฒนาซอฟต์แวร์ระดับองค์กรของกองทัพอากาศ

“เราไม่ได้พยายามติดตั้ง Kubernetes และคอนเทนเนอร์บนเรือดำน้ำหรือเครื่องบินในขณะที่กำลังบินอยู่” Wood กล่าว “ดังนั้นเราจึงมีความยืดหยุ่นมากมายที่พวกเขาไม่มีเมื่อพูดถึงวิธีการปรับใช้ของเรา”

เช่นเดียวกับ Platform One Wood กล่าวว่า CMS กำลังสร้างแพลตฟอร์มบน Kubernetes ซึ่งเป็นระบบจัดการคอนเทนเนอร์โอเพ่นซอร์ส

เขากล่าวว่า CMS ได้สร้าง “ต้นแบบการทำงาน” ของสภาพแวดล้อมการพัฒนาซอฟต์แวร์ และเขาคาดว่าภายในสองเดือนข้างหน้า CMS จะเข้าสู่ขั้นตอนของ “ผลิตภัณฑ์ที่ทำงานได้ขั้นต่ำ” โดยมีแอปพลิเคชันสองตัวทำงานอยู่

แนวคิดคือการฝังกระบวนการประเมินความปลอดภัยอย่างรวดเร็วไว้ในสภาพแวดล้อมการพัฒนา ทำให้ทีมเปิดตัวซอฟต์แวร์ใหม่ที่สร้างขึ้นได้รวดเร็วยิ่งขึ้น“มีทีมจำนวนมากที่ CMS ที่ติดอยู่กับการปรับใช้รายเดือนหรือรายไตรมาส และนั่นเป็นสิ่งที่ดีสำหรับพวกเขา” เขากล่าว “มีบางทีมที่ใช้งานทุกวัน แต่มันไม่ใช่บรรทัดฐานในขณะนี้ มันเป็นข้อยกเว้น และเราหวังว่าจะสามารถแก้ไขสิ่งนั้นได้”

ด้วยกระบวนการปัจจุบัน เขากล่าวว่าความเร็วไม่ได้รับแรงจูงใจในหลายๆ ด้าน

“ปรับใช้แอปพลิเคชันของคุณอย่างต่อเนื่อง ปรับปรุงแอปพลิเคชันของคุณอย่างต่อเนื่อง ซึ่งเป็นสิ่งที่ไม่เกิดขึ้นจริง เพราะการเปลี่ยนแปลงถูกมองว่าเป็นสิ่งที่ไม่ดี เพราะคุณต้องวิเคราะห์ผลกระทบด้านความปลอดภัย คุณอาจต้องผ่าน ATO ใหม่ด้วยซ้ำหากคุณ กำลังออกแบบสิ่งต่าง ๆ ใหม่อย่างมาก” เขากล่าว “มีกระบวนการปฏิบัติตามข้อกำหนดทั้งหมดนี้ซึ่งกลายเป็นจุดสนใจของทีมพัฒนา ซึ่งแน่นอนว่าไม่ใช่จุดที่เราต้องการให้ผู้คนใช้เวลาและพลังงานของพวกเขา”

Wood กล่าวว่า CMS กำลังพยายามปฏิรูปการปฏิบัติการด้านความปลอดภัยเพื่อปรับปรุงวิธีการที่เขาเรียกว่า “คอขวด” สำหรับทีมพัฒนาที่พยายามเข้าถึงข้อมูลไปยังระบบแพตช์ ตอบสนองต่อเหตุการณ์ และดำเนินการตามภารกิจสำคัญอื่นๆ“เรากำลังสร้างบนแพลตฟอร์ม Data Lake” เขากล่าว “เรากำลังใช้สิ่งนั้นเป็นแหล่งความจริงเดียวของเรา เพราะเราสามารถสร้างกฎการกำกับดูแลที่สมบูรณ์จริงๆ เกี่ยวกับการเข้าถึงและการรายงานในเรื่องนั้น”

Credit : สล็อตยูฟ่าเว็บตรง