‘อย่าประสบกับความเงียบ’ ผู้นำด้านไอทีของรัฐบาลกลางกล่าวในการปรับใช้ DevSecOps

ร้านค้าไอทีของรัฐบาลกลางกำลังหิวกระหายแนวทางปฏิบัติที่ดีที่สุดในการนำ DevSecOps ไปใช้ ซึ่งเป็นแนวปฏิบัติและวัฒนธรรมที่มีมานานหลายปี แต่ด้รับการยกระดับสู่พื้นผิวเมื่อความสนใจเกี่ยวกับเครือข่ายและความปลอดภัยในการเข้าถึงเพิ่มขึ้นการละเว้นโดยทั่วไประหว่างหน่วยงานที่ยอมรับ DevSecOps คือศักยภาพในการเพิ่มประสิทธิภาพการสื่อสารข้ามหน่วยงาน แต่ยังรวมถึงประสบการณ์ของลูกค้าและความรู้สึกเป็นเจ้าของเกี่ยวกับความปลอดภัยด้านไอทีในทุกขั้นตอนของวงจรชีวิตของผลิตภัณฑ์

Derrick Curtis จาก Office of Information and Technology กล่าวว่า

 Department of Veterans Affairs เปลี่ยนจากแพลตฟอร์มที่มีโครงการเป็นศูนย์กลางไปสู่การมุ่งเน้นที่ผลิตภัณฑ์มากขึ้น ในฐานะผู้อำนวยการฝ่ายทดสอบซอฟต์แวร์และแผนก 508 ในแผนก Enterprise Portfolio Management Division ทีมของเขาเป็นเจ้าของและดูแลผลิตภัณฑ์ตลอดวงจรชีวิต

“เรามีส่วนร่วมกับลูกค้าอย่างแท้จริง เข้าใจความต้องการของเรา และสร้างทีมที่เหนียวแน่นเกี่ยวกับผลิตภัณฑ์นั้นๆ ซึ่งจะดูแลตลอดวงจรชีวิตนี้ และ – เข้าใจว่าลูกค้าต้องการอะไรจากผลิตภัณฑ์นั้นจริงๆ” Curtis กล่าว ระหว่างการสัมมนาทางเว็บโดย ATARC ในวันพฤหัสบดี

        ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps

DevSecOps ช่วยให้แผนกสามารถมีส่วนร่วมกับลูกค้าได้มากขึ้น และเกี่ยวกับการปรับปรุงไอทีให้ทันสมัยในพื้นที่ดิจิทัล เขากล่าวว่าได้เปลี่ยนวิธีที่พวกเขามองอุปกรณ์หรือโครงสร้างพื้นฐานใหม่สำหรับวิธีการที่คล่องตัวมากขึ้น

Crystal Philcox ผู้ช่วยกรรมาธิการด้านการจัดการกลยุทธ์องค์กรใน Federal Acquisition Service กล่าวว่าการมุ่งเน้นไปที่ผลิตภัณฑ์ยังช่วยให้ General Services Administration ใช้วิธีการต่างๆ เช่น การออกแบบที่เน้นมนุษย์เป็นศูนย์กลางและการพัฒนาที่คล่องตัว

 เธอชี้ไปที่หนังสือเวียนของสำนักงานบริหารและงบประมาณ

ฉบับที่ A-11 มาตรา 280; และคำสั่งผู้บริหารเรื่องการแปลงประสบการณ์ลูกค้าของรัฐบาลกลาง (CX) และการส่งมอบบริการเพื่อสร้างความไว้วางใจในรัฐบาลใหม่ตั้งแต่เดือนธันวาคม

Philcox กล่าวว่า แม้ว่าการออกแบบที่เน้นมนุษย์เป็นศูนย์กลาง CX และ DevSecOps จะแยกกัน แต่ควรทำร่วมกันและควรเสริมซึ่งกันและกัน

“หากคุณกำลังทำ DevSecOps และคุณมุ่งเน้นไปที่การสร้างอย่างต่อเนื่อง … หากคุณไม่ได้จัดส่งโค้ดที่ใช้งานได้ในขณะที่คุณใช้งาน ก็ไม่คุ้มที่จะทำ DevSecOps” เธอกล่าว “ในขณะที่คุณกำลังเข้าสู่วิธีการนี้ ทำความคุ้นเคยกับการจัดส่งอย่างสม่ำเสมอมากขึ้นเล็กน้อย และให้นักธุรกิจและคู่ค้าของคุณในฝั่งธุรกิจรู้สึกสบายใจมากขึ้นโดยพูดว่า ‘เฮ้ เรามาเริ่มใช้งานฟังก์ชันที่ใช้งานได้กันก่อนดีกว่า ทำตอนนี้’ และเก็บสะสมไว้อีกเล็กน้อยเพื่อต่อยอดผลิตภัณฑ์ต่อไป”

เธอสนับสนุนการเขียนสัญญาเพื่อให้สอดคล้องกับวิธีการทำงานของทีม DevSecOps หรือวิธีที่เอเจนซีคาดหวังให้ผู้รับเหมาทำงาน เช่น “มุ่งเน้นไปที่ดาวเหนือที่คุณพยายามจะไปให้ถึง” จากนั้นพัฒนาเหตุการณ์สำคัญเกี่ยวกับการส่งมอบกรณีการใช้งานสำหรับผู้ใช้จริง แทนที่จะเป็นการส่งมอบเอกสาร เธอกล่าว

Rayvn Manuel นักพัฒนาแอปพลิเคชันอาวุโสของ National Museum of African American History and Culture เห็นด้วยกับ Philcox และ Curtis ว่า DevSecOps จำเป็นต้องทำงานร่วมกันเพื่อการเปลี่ยนแปลงทางดิจิทัล ในมุมมองของเธอ มันยังทำหน้าที่เป็นเกราะป้องกันเหนือการนำไปใช้งาน หากใครกำลังพิจารณาถึงความปลอดภัย ในขณะที่เปลี่ยนจากสถานะเดิมไปสู่สถานะในอนาคต เธอกล่าวว่าทีมจะต้องตระหนักถึงเวกเตอร์การโจมตีและมองหานักแสดงที่ไม่ดีอยู่เสมอ

มานูเอลกล่าวว่าในตอนแรกเธอรู้สึกขนลุกเมื่อได้ยินคำนี้เป็นครั้งแรก แต่เธอจำได้ว่าคำนี้ช่วยเน้นความปลอดภัยภายในวงจรการพัฒนาและการใช้งานทั้งหมด

“และใช่ คนส่วนใหญ่อาจทำแบบนั้นจริงๆ แต่ฉันรู้ว่า ในฐานะนักพัฒนา ฉันจะทำเรื่องความปลอดภัยเล็กๆ น้อยๆ ของฉัน แล้วก็โยนมันข้ามกำแพงไปให้คนที่รู้ดีกว่าฉัน จริงไหม? เพราะฉันไม่สนใจที่จะเรียนรู้เรื่องความปลอดภัยมากไปกว่าไอดาโฮตัวน้อยของฉัน” เธอกล่าว

Credit : สล็อตยูฟ่าเว็บตรง