Docker 集成 OSCAL 标准，让高度监管体系行业实现自动化

本文首发自“Docker公司”公众号（ID：docker-cn）
编译丨小东
每周一、三、五 与您不见不散！

金融服务业、保险业和政府企业这类拥有高度监管体系的行业都各自拥有着一系列复杂且极具挑战性的 IT 合规性要求（必须不断加以维护）。出于这个原因，引入新技术有时候会变得十分困难。Docker 企业版（EE）可以为这类组织提供了一个安全的平台，在这个平台上，容器是构建兼容应用程序以及大规模运营、管控工作流的基础。

即使出现了容器、云以及其它新工具，但问题依然存在，IT 合规领域仍然没有实质性变化，安全标准远远落后，从而导致传统控制装置与现代系统不匹配。组织仍然依赖于几十年前的那种文书繁重的审计和报告流程。因为所需资源文档和工件的开发和维护必须通过第三方的持续审核，所以构建符合 PCI、FISMA 或 HIPAA 标准系统的时间和成本不容小觑，即使对于大型企业来说也是如此。

为了满足这些需求，Docker 与美国国家标准与技术研究院（NIST）进行合作。今天，我们很高兴地宣布 Docker 将完全采用开放安全控制评估语言（OSCAL）标准并致力于其未来的发展。OSCAL是一种可以让机器识别的“标准”，它规范化了系统安全控制和相应的评估信息的表达方式。其目标是提高系统安全评估的效率、准确性和一致性，并大幅减少与评估相关的劳动力。OSCAL 使用户能够持续评估系统的安全状态，并同时对多组需求进行评估。OSCAL 规范在设计时考充分虑到了安全性和灵活性。它既基于 XML，也基于 json，而且它与技术和基础设施无关，所以在使用方面它非常的灵活。

此外，我们正在将 OSCAL 功能直接集成到 Docker 企业版（EE）的容器平台中来缓和合规性所带来的挑战。这些集成的最初重点将放在具有 PCI 和 FISMA 合规要求的组织（美国联邦政府）上，不久之后我们将为 HIPAA 和其他组织提供额外支持。

欢迎参加 6 月份举办的 DockerCon 欧洲大会（https://2018.dockercon.com）， 参与关于 OSCAL 标准的讨论，或者通过邮件（sales@docker.com）与我们联系。