DevSecOps已經獲得了相當大的動力，它是將安全測試作為持續集成和持續部署/交付（CI/CD）流程的一部分進行正式和整合的事實流程。通過將安全集成到CI/CD流程中，企業可以自動進行安全測試，并在每次開發人員提交時觸發，避免作為一個門控流程的延遲或在最后附加。

CI/CD是現代軟件開發的核心，企業意識到需要將CI/CD管道實例化，以實現軟件交付過程的自動化和簡化。

國防部實現軟件開發的現代化

美國國防部（DoD）意識到現代軟件開發的轉變，正在進行數字化轉型，以提高支持作戰人員和現場操作的任務敏捷性。每隔三到十年交付一次軟件能力，這使得我們無法跟上技術的步伐。因此，國防部發起了一項企業DevSecOps倡議，以實現其軟件交付方式的現代化和轉型。

該倡議由幾個部分組成，旨在加強軟件安全，改善基礎設施能力，簡化IT流程，并使合規流程現代化，以實現國防部范圍內的持續運營授權。

作為國防部企業DevSecOps倡議的一部分，創建了一個授權、加固和認證的最佳軟件開發工具和能力容器的中央庫房。這個被稱為 "Iron Bank "的中央存儲庫旨在降低國防部軟件項目中DevSecOps解決方案的使用門檻。

鑒于最近發生的SolarWinds漏洞事件中，CI/CD工具鏈和DevSecOps管道受到越來越多的威脅，國防部希望利用Iron Bank加快DevSecOps的采用，以確保所有國防部軟件項目的軟件交付過程。

Iron Bank資源庫將同時容納自由和開放源碼（FOSS）以及商業現成（COTS）的軟件開發工具。Iron Bank中的容器將根據該機構的容器加固指南進行加固，以便在整個國防部范圍內實現跨分類的互惠。

Iron Bank的Parasoft SAST

國防部的軟件項目可以利用Parasoft C/C++test為其CI/CD管道和工具鏈提供動力，Parasoft C/C++test是最完整的C和C++靜態應用安全測試（SAST）解決方案，它利用綜合分析技術（基于模式的分析、數據流分析和抽象解釋）來暴露通常導致網絡攻擊的關鍵漏洞。

它目前以dockerfile的形式托管在Iron Bank的GitHub上，目的是作為C/C++編譯器工具鏈的基礎鏡像。標準版和專業版都可以幫助國防部的軟件項目正式確定SAST和單元測試能力，作為其軟件測試的一部分。Parasoft認識到，開發、部署和持續改進軟件的能力對國防至關重要。

Parasoft C/C++測試是嵌入式軟件開發的理想選擇，可以幫助執行和驗證安全和質量合規標準，如通用弱點列舉（CWE）、CERT安全編碼標準、MISRA和AUTOSAR等，以及DISA STIG和OWASP的合規驗證。

最近的研究表明，軍事（國防）嵌入式系統市場規模預計將從2020年的14億增長到2025年的21億，2020年至2025年的年復合增長率為8.3%。

Parasoft意識到這一不斷增長的需求，并承諾投入大量資源，以確保我們的C/CC++test SAST解決方案能夠被容器化，以滿足國防部的加固和安全標準。這為Parasoft提供了一個獨特的機會，使其能夠與國防部的軟件項目合作，實現其數字化轉型的任務目標，并使軟件開發實踐現代化，以快速提供有保障的軟件安全。

為您的DevSecOps建立Iron Bank

容器化Parasoft SAST解決方案為國防部軟件項目提供了以下好處：

在CI/CD管道中對開發人員提交的代碼變更進行自動安全測試，以保持與軟件交付節奏同步。

提供將安全和合規性整合到DevOps工具和工作流程中的能力，以執行安全和合規性標準，幫助告知風險管理決策。

通過補救工作流程分析、詳細的發現報告、代碼覆蓋細節和報告分析，幫助改善開發人員和安全團隊之間的合作，以確定什么是最重要的。

通過提供對安全測試中發現的風險和指標的實時可見性，支持持續運營授權（cATO）活動。這可用于擴大國防部軟件項目的互惠性，以加速和告知cATO活動。

提供深入的分析反饋，整合到開發人員的工作中。