自2019年发布国防创新委员会软件采购与实践报告《软件永无止境：重构采购代码以获取竞争优势》以来，美国防部一直致力于转变软件开发与采购实践。这一转变的核心是DevSecOps，这是一个打破壁垒、灌输安全理念、并遵循现代科技公司最佳实践将软件快速交付至生产环境的过程。过去5年间，美国防部在采用DevSecOps实践方面取得了进展。目前有超过50家软件工厂正在使用DevSecOps将代码交付至生产环境，学习如何将这些实践融入高风险高要求的国防部环境，并为广泛转型提供模板和模式。

国防部门内部已涌现出多个卓越实践点，成功实施了DevSecOps，从而实现了更快的部署周期、更强的安全性、更高的软件质量、更高的运营效率以及提升的最终用户价值。正因如此，国防部首席信息官办公室赞助编写了这份首份“国防部DevSecOps现状报告”——旨在审视已取得的进展，以推动整个部门向现代软件实践转型。

美国防部将DevSecOps视为通过推动现代化来保护作战人员、适应未来挑战并提升整体任务成功的关键赋能因素。国防部在一个高风险环境中运作，安全性、效率和速度至关重要，而DevSecOps提供了一条同时实现这些目标的途径。业界已经证明了将软件快速交付至生产环境的价值。领先的科技公司、商业公司，甚至对手都在实施这种方法。DevSecOps使国防部能够持续交付先进的作战能力，例如“超越计划”、F-16、F-35以及一系列其他关键武器系统。

本研究聚焦于国防部实践的现状。使用了量化指标，尽管在当前的转型阶段，有必要通过用户调查获取定性信息加以补充。总体而言，美国防部发现DevSecOps是加速软件交付的强大工具。当全面实施时，它改变了向作战人员交付任务能力的范式，其速度能为他们提供不对称优势。

DevSecOps是一项流程变革，必须在领导层承诺下引入。要取得成功，必须克服与传统方法相一致的官僚惰性，这些传统方法交织在交付流程的各个方面。图0-1展示了被传统流程包围的DevSecOps无限循环，这些传统流程涉及现有权益，必须得到满足才能将软件交付至作战环境。

现有的网络空间实践、测试与评估实践、采办以及其他包括需求、人工智能和财务管理在内的所有环节，都需要重新调整，以支持最小可行任务能力的快速、增量式交付和投入运行。所有这些职能部门都已证明能够进行敏捷转型。

在研究过程中，采访了国防部超过75位领导者和实践者，他们代表了19个不同类型软件组织，以及代表网络空间、开发测试和作战测试的测试组织。利用所获得的洞见，提出了一种方法，用于衡量和监控转型工作的进展以及DevSecOps生态系统的健康状况，以面向未来。

完整报告对以下主题进行了扩展：

• DevSecOps在快速变革中取得成功：国防部在采用DevSecOps原则方面取得了显著进展，从而打造了一支更敏捷、更具韧性和更致命的部队。DevSecOps通过改进实施、增强互操作性和加速部署，验证了前进的道路。

• 软件工厂是数字军火库：软件工厂通过应用持续集成和持续部署工作流，彻底改变了软件交付方式，现在是时候扩展并正式确立其能力，以实现国防部信息技术和武器系统环境的现代化。在国防部，软件工厂被定义为一套人员、工具和流程的集合，使团队能够通过部署软件来满足特定最终用户群体的需求，从而持续交付价值。它利用自动化取代手动流程。

• 软件工厂赋能现代化：扩展和优化软件工厂生态系统加速了企业现代化。软件工厂在稳定的资金和商业模式方面面临挑战，这限制了大规模扩张。国防部正在收集包括成本和生产力在内的数据，为未来在人员、流程和技术方面的投资提供信息，并推动更有效的现代化。

• DevSecOps赋能持续运行授权：DevSecOps实现了网络安全转型，从一次性风险评估转变为持续运行授权。持续运行授权是国防部网络安全实践的重大转变，它融合了实时评估、零信任原则和DevSecOps，以保护我们的供应链免受新兴威胁，并改善我们的整体网络安全态势。

• 政策与指南赋能变革：政策和指南需要跟上DevSecOps所实现的软件交付速度以及采用新软件所需的相关文化变革。国防部正在应用敏捷思维，基于DevSecOps在基层的成功来推动政策制定。基层活动的例子包括软件工厂联盟和国防部DevSecOps实践社区。理解文化背景使国防部能够有意识地将政策和指南与有效实践对齐。

• 成功取决于锻造一支满足任务需求的DevSecOps人才队伍：一支技能娴熟、积极主动的人才队伍对DevSecOps至关重要，国防部正在通过《网络人才战略实施计划》等举措，在建设强大人才队伍方面取得进展。各项目报告称，向国防部任务交付能力是推动招聘和留任的重要激励因素，可以抵消财务报酬方面的挑战。有效的领导力以及优先考虑创新、协作和持续学习的文化，对于培养能够大规模交付DevSecOps能力的人才队伍至关重要。

• 前进之路依赖于数据和有效度量：为确保DevSecOps持续赋能任务价值，国防部需要根据目标衡量进展，利用数据为决策提供信息、推动改进并消除进展障碍。定量数据、严谨的方法论、战略思维以及对组织目标的理解相结合，对于有效决策至关重要。