Acesso federal a código aberto com o GitHub

Assim como a aquisição do GitHub pela Microsoft Corp. solidificou o lugar do serviço de hospedagem de código no mundo do desenvolvimento de software, o recente anúncio da GitHub de que sua Enterprise Cloud obteve autorização FedRAMP oferece, pela primeira vez, uma maneira para as agências governamentais participarem com segurança em todo o universo de desenvolvimento de código aberto.

Tradicionalmente, os usuários federais aproveitavam o plano de equipe do GitHub ou a plataforma GitHub Enterprise Server hospedando-os no local ou em sua própria nuvem privada. O GitHub Enterprise Cloud, que reside inteiramente na nuvem, está disponível desde o ano passado. Ele oferece a capacidade de usar single sign-on e um provedor de identidade secundário (incluindo cartões PIV e CAC do governo) e inclui suporte expandido e acordos de nível de serviço.

“Historicamente, tivemos clientes [governamentais] no GitHub.com, mas eles faziam isso como shadow IT sob um plano de equipe ou como sistemas não essenciais. Como o GitHub.com não tinha ATO [autoridade para operar], ele nunca foi considerado apropriado para aplicações de missão crítica do dia a dia da maioria das organizações”, disse Jamie Jones, arquiteto principal da GitHub.

Isso mudou em outubro, com a GitHub obtendo autoridade operacional do FedRAMP sob um processo relativamente novo chamado FedRAMP Tailored, que fornece um processo de aprovação de segurança mais simplificado, mais adequado para provedores de software como serviço, como a GitHub. “Agora estamos oferecendo a eles um lugar onde podem fazer isso na nuvem, em hardware gerenciado e hospedado na GitHub”, disse Jones.

Os recursos do GitHub Enterprise Cloud estão ganhando paridade rapidamente e, em alguns casos, excedendo os recursos do GitHub Enterprise Server, sua oferta nas instalações. Mas a grande vantagem de mudar para o GitHub Enterprise Cloud é que ele dará às agências de todos os tamanhos acesso a todo o universo de desenvolvimento de código aberto e recursos de colaboração da GitHub, e à vasta comunidade de desenvolvedores que contribuem para esses recursos.

Agora estamos oferecendo a eles um lugar onde podem fazer isso na nuvem, em hardware gerenciado e hospedado na GitHub

- Jamie Jones

“No produto de software médio desenvolvido atualmente, mais de 57% do código contido nele é, na verdade, código aberto ou código proveniente de outros projetos”, disse Jones. “Tornou-se fundamental que o software moderno seja capaz de colaborar com o mercado de código aberto.”

E o tamanho desse mercado é impressionante. Em sua mais recente conferência anual de usuários e desenvolvedores, a GitHub anunciou que tem mais de 31 milhões de usuários atualmente no GitHub.com. Agora, agências que antes estavam confinadas a operar dentro de uma comunidade corporativa do GitHub (de um punhado a alguns milhares de desenvolvedores) têm acesso a uma base de código e um pool de talentos muito maior.

Governos de todo o mundo estão usando o GitHub. Na última contagem, 143 agências civis federais dos EUA, 14 agências do Departamento de Defesa e 48 agências estaduais estavam usando o GitHub para colaborar em código, dados, políticas e aquisições, de acordo com dados do GitHub. Além dos 31 milhões de usuários da plataforma, o número de organizações aumentou 40%, para 2,1 milhões, assim como o número de repositórios de código, que agora ultrapassa os 100 milhões.

Na última contagem, 143 agências civis federais dos EUA, 14 agências do Departamento de Defesa e 48 agências estaduais estavam usando o GitHub para colaborar em código, dados, políticas e aquisições.

- Jamie Jones

FedRAMP Tailored

GitHub está entre os primeiros provedores de serviços em nuvem a tirar vantagem do FedRAMP Tailored. O FedRAMP foi originalmente destinado a ajudar as agências a certificar que um serviço de computação em nuvem atendia a uma longa lista de controles de segurança exigidos pelo governo federal. A ideia era que outras agências, uma vez certificadas, pudessem adotar esse mesmo serviço sem repetir o mesmo processo de certificação. Mas o processo era demorado, caro e direcionado inicialmente aos provedores de infraestrutura como serviço (IaaS) e plataforma como serviço (PaaS), em outras palavras, os grandes provedores tradicionais de nuvem como AWS, Google, IBM, Microsoft e outros.

O FedRAMP Program Office dentro da General Service Administration, no entanto, reconheceu uma oportunidade de ajustar o FedRAMP especificamente para provedores de software como serviço (SaaS) que lidam com dados de baixo risco e baixo impacto, e não são responsáveis por uma série de controles de segurança de rede.

De acordo com Ashley Mahan, diretora interina do FedRAMP Program Office FedRAMP, o processo de avaliação personalizada do FedRAMP se concentra apenas em um subconjunto dos controles técnicos NIST 800-53 e coloca um foco maior em políticas, procedimentos e treinamento em torno da gestão e uso de serviços públicos ou dados não sensíveis.

“O que isso significa é que ele proporciona um processo de autorização rápido e eficiente que reduz o tempo de lançamento do fornecedor no mercado e realmente acelera os cronogramas de quando uma agência pode fazer uso dessas tecnologias inovadoras de nuvem”, disse Mahan.

Isso colocou a economia da autoridade operacional do FedRAMP ao alcance da GitHub pela primeira vez, de acordo com Jones. Mas também abre a porta para que as agências trabalhem com uma gama mais ampla de fornecedores de software como serviço.

“O FedRAMP Tailored foi realmente desenvolvido como uma maneira de soluções SaaS, como a GitHub, obterem uma autorização FedRAMP para que possam ser facilmente consumidas pelo governo federal, levando em consideração a segurança adequada que esses sistemas exigem, em oposição aos fornecedores tradicionais de nuvem”, disse Jones.

As agências agora podem simplesmente acessar o mercado FedRAMP e obter a autorização para começar a usar a plataforma com a confiança de que ela atende aos requisitos básicos de segurança estabelecidos pelo governo para SaaS. “Para algumas agências, isso pode reduzir o tempo necessário para receber uma ATO para apenas alguns minutos”, disse Jones.

Um dos principais benefícios de usar o Enterprise Cloud autorizado pelo FedRAMP é que agora podemos oferecer suporte às ferramentas de identificação e autorização da sua agência

- Jamie Jones

O caso de negócios

De acordo com Jones, não há razão para uma agência que atualmente usa o GitHub sob uma licença de equipe ou empresa não migrar para a versão Enterprise Cloud autorizada pelo FedRAMP – e na maioria dos casos, há uma série de vantagens.

"Um dos principais benefícios de usar o Enterprise Cloud autorizado pelo FedRAMP é que agora podemos oferecer suporte às ferramentas de identificação e autorização da sua agência" disse ele. “Pelos recursos extras que oferecemos, incluindo solicitações de suporte mais rápidas ou a capacidade de usar SAML e seus provedores de identidade externos, a carga administrativa é muito menor”, disse Jones.

O GitHub Enterprise Cloud autorizado pelo FedRAMP também oferece serviços e recursos de segurança aprimorados que ainda não estão disponíveis para clientes empresariais.

Por exemplo, o GitHub lançou recentemente um serviço de alerta de vulnerabilidade. Ele começou no ano passado por meio de uma colaboração com o National Vulnerability Database para fornecer alertas diretamente por meio do GitHub Enterprise Cloud autorizado pelo FedRAMP para vulnerabilidades em Ruby, JavaScript, Python, Java e .Net. O GitHub identificou mais de 4 milhões de dependências vulneráveis e resolveu mais de 1 milhão delas durante o ano passado.

Se o GitHub descobrir que você está usando uma biblioteca com uma vulnerabilidade conhecida, o serviço de alerta irá sinalizá-la para você e alertar os administradores do repositório. O GitHub irá até alertar os desenvolvedores sobre possíveis atualizações conhecidas que corrigem a vulnerabilidade, disse Jones.

A oferta de maior segurança e proteções contra vulnerabilidades se traduzirá em maior velocidade de negócios para agências governamentais, de acordo com Jones.

“Todos nós já ouvimos histórias sobre como, quando funcionários do governo ou prestadores de serviços são contratados, passam-se dias ou semanas até que eles tenham acesso ao hardware e aos sistemas adequados para começar a trabalhar em seus empregos. Mas, podendo acessar o GitHub pela Internet, em vez de por trás de um firewall da agência, e ainda assim poder usá-lo de forma segura e compatível, isso deve permitir que os usuários da agência se atualizem e trabalhem com mais rapidez”, disse ele.

“Tradicionalmente, temos visto uma grande aceitação no uso do GitHub Enterprise Server, que é a versão do GitHub para uso nas instalações”, disse Jones. “Mas esperamos que a autorização FedRAMP para Enterprise Cloud realmente permita que nossos clientes federais aproveitem o SaaS e o GitHub executados na Internet e na nuvem.”

A mudança do GitHub Enterprise Server para o GitHub Enterprise Cloud acontece perfeitamente nos bastidores

- Jamie Jones

A mudança do GitHub Enterprise Server para o GitHub Enterprise Cloud "acontece perfeitamente nos bastidores", disse Jones. “À medida que você muda para o Enterprise Cloud, a principal vantagem é que você pode mover grande parte da infraestrutura e da carga de trabalho para a nuvem, o que o ajuda a cumprir o mandato de nuvem em primeiro lugar”, disse ele.