美国防部计划为国防承包商制定更快、更全面的软件网络安全标准，确定包括控制措施和流程在内的整体框架，从而使美军能够快速应用能够证明供应链安全和安全编码实践的软件产品。

美国防部寻求建立快速软件流程的主要动因包括两个方面：一是需要将尖端能力快速交付给美军作战人员；二是需要将美国防部的安全边界延伸至构成国防工业基础的承包商，甚至延伸至其供应链。美国防部将借鉴网络安全成熟度模型认证（CMMC）计划的经验，发布供应商必须满足的标准，从而为各军种和国防机构提供一定程度的应用程序安全性保证。不同于适用于整个组织的CMMC，该流程适用于特定产品。该流程不仅实施速度更快，还比CMMC流程更全面，涵盖供应链安全以及外国对承包商及其供应商的控制或影响问题，并融入了美国网络安全和基础设施安全局定义的安全编码流程。

美国防部目标是与业界合作，让国防供应商能够证明自身产品值得信赖，从而向其授予进入国防IT环境的“快速通行证”，为软件创建一个快速操作授权流程。美国防部不希望新的流程仅是将风险转嫁他方，而是希望将该流程构建到整个国防部的集成技术框架中，从而确保相关流程的部署方式能够持续满足作战人员的任务需求、弹性以及高度动态战场的安全态势。美国防部近期将发布信息邀请书，阐述国防部的目标，并向业界收集有关软件产品安全控制的反馈，包括针对软件产品本身、外国影响和控制、软件管道的安全控制措施。

除确保商业软件的安全外，美国防部还希望将人工智能应用到自身软件敏捷开发流程。美国防部正试图构建完整的开发、安全和运维模型，了解能够促进上述流程的成熟人工智能解决方案，以及如何识别上述解决方案；研究人工智能带来的特定威胁模型，确保能够了解相关威胁的形态和风险并消除风险，然后引入相关能力；与非营利性机构MITRE合作，研究如何利用人工智能解决从代码生成、遗留代码现代化到评估整个管道流程中的网络漏洞等所有问题。MITRE最近启动了一项新计划，旨在规划人工智能工具如何帮助各软件开发阶段。

奇安网情局编译有关情况，供读者参考。

美国防部正在开发一种“快速流程”方法，将安全软件安装到其网络上。美国防部首席软件官罗布·维特迈耶4月10日表示，能够证明其供应链安全和安全编码实践的国防IT承包商很快就能获得快速批准，使其产品在国防部网络上运行，从而大大缩短目前通常需要数月或数年才能完成的流程。

罗布·维特迈耶表示，尽管该流程实施速度更快，但它也比网络安全成熟度模型认证（CMMC）流程更全面，涵盖供应链安全以及外国对承包商及其供应商的控制或影响问题，并融入了美国网络安全和基础设施安全局（CISA）定义的安全编码流程。该流程不像CMMC那样适用于整个组织，而是适用于特定的产品。

借鉴CMMC计划的经验，美国防部很快将发布供应商必须满足的标准，这将为各军种和国防机构提供一定程度的保证，确保应用程序的安全性。

罗布·维特迈耶表示，“我们发现，我们需要加快与业界的对话和整合，探讨如何提高安全软件组件的标准。确保开发流程的安全意味着什么？随着我们与业界的合作，我们如何合作解决这些供应链问题？行业正在寻找，我如何加速交付到国防部？我们感兴趣的是如何从供应链安全控制的角度提升我们的安全态势？所以我们正在努力寻找这样的契合点。”

美国防部将在未来几周内发布信息邀请书，描述其目标并收集有关其应考虑的软件产品安全控制的反馈。罗布·维特迈耶表示，美国防部将询问业界：“我们应该为软件产品建立哪些控制措施？针对外国影响和控制建立哪些控制措施？针对软件管道建立哪些控制措施？我们的目标是与业界合作，让他们能够证明自己的产品值得信赖，然后我们才能基于这种信任，给予他们进入国防IT环境的快速通行证。”

罗布·维特迈耶表示，虽然美国防部仍在制定具体实施细节，但这是政府的首要任务，他预计很快会公布更多信息。总体目标是为软件创建一个快速操作授权（ATO）流程。

罗布·维特迈耶表示，该快速流程的推动力来自两点。首先，需要将尖端能力交到美国作战人员手中；其次，需要将美国防部的安全边界延伸至构成国防工业基础的承包商，甚至延伸至其供应链。

罗布·维特迈耶，“我们将宣布这项工作的目标，即一个高级框架，并在几个月内与业界合作，建立这些控制措施和流程，并就如何提升我们的供应链安全态势展开对话。我们正在考虑的是定义一套控制措施，如果业界能够证明他们的产品和管道符合这些控制措施，那么我们就能免去长达数月的风险管理框架评估负担。这能让我们理解，是的，这款软件确实符合我们的风险态势，达到了我们现在可以评估的水平。我们与业界建立了信任，相信如果我们安装这款软件，它不会给我们的环境带来不可接受的风险。”

这种新的“快速通过”方法是美国防部于2022年2月启动的更广泛的软件采购现代化工作的一部分，并制定了一项新战略。

最近，美国防部长皮特·赫格塞斯3月份签署了一份备忘录，指示美军各军种和国防机构使用软件采购途径作为采购商业和武器系统的首选方法。

皮特·赫格塞斯写道，“我指示将‘开放商业解决方案及其他交易’作为软件工作计划下采购能力的默认招标和授予方式。这适用于任何处于规划阶段、即将实施的软件路径项目。”

美国防部于2018年创建了6条采购途径，其中一条专注于软件。软件采购途径的使用一直进展缓慢。

罗布·维特迈耶表示，随着对手试图以更快的速度利用软件漏洞，美国防部对软件安全的关注已经达到了一个新的重要程度。

罗布·维特迈耶称，“我们发现，攻击者正越来越多地利用基础攻击和非常复杂的攻击手段攻击软件供应链。因此，我们会仔细研究各种攻击手段，从简单的身份和凭证入侵，到注入管道，再到入侵构建系统。即使你的持续集成管道内置了安全检查，一旦进入被入侵的构建系统，恶意代码也会被注入到最终产品中，从而造成管道中毒和拼写错误。针对美国防部任务所依赖的软件，攻击者正在使用一系列基础和复杂的攻击手段。”

罗布·维特迈耶表示，美国防部正在从其网络安全成熟度模型认证（CMMC）方法中吸取教训，不一定要建立一个新的计划，而是利用现有的认证或类似的努力。

罗布·维特迈耶称，“从技术角度来看，我们想要做的是确保我们已经定义了技术平台。我们已经定义了一套标准和规范，以高度抗干扰的方式实现可部署。那么，在未来的发展中，我们将如何管理这些关键组件？然后，如果我们能够插入符合我们可靠性要求和弹性要求的软件，这些软件就可以以一种持续增加任务价值的方式接入我们的数字平台，并且我们能够随着时间的推移为其提供支持。我们希望确保我们不会将这些流程视为‘转嫁他方’的创新，而是可以将它们构建到整个国防部的集成技术框架中，从而确保这些流程的部署方式能够满足并将继续满足作战人员的任务需求、弹性以及我们当前面临的高度动态战场的安全态势。”

罗布·维特迈耶表示，除确保商业软件的安全外，美国防部还希望将人工智能应用到自己的DevSecOps管道中。

MITRE最近启动了一项新计划，旨在规划人工智能工具如何帮助每个开发阶段。

罗布·维特迈耶表示，“当我们审视DevSecOps流程时，我们发现新兴的AI能力似乎能够提供非常强大的能力，使我们能够加速美国防部的敏捷开发进程，并更快地将弹性能力交付给作战人员。我们现在试图构建完整的DevSecOps模型，了解哪些AI解决方案正在成熟，能够帮助美国防部完成这一进程，以及我们能够在哪些方面识别这些解决方案。我们如何像使用通用大语言模型那样，将这些解决方案引入并使其可用？我们如何理解这些能力在生命周期中的位置？研究AI带来的特定威胁模型，确保我们了解这些威胁的形态和风险，并能够降低这些风险，然后引入这些能力，以便能够支持并快速加速国防部的整个进程。”

与MITRE一起，美国防部正在研究人工智能如何帮助解决从代码生成、遗留代码现代化到评估整个管道流程中的网络漏洞等所有问题。

罗布·维特迈耶表示，“我们可以审视许多遗留系统，它们就像船锚一样，指引我们如何推动创新。我们受困于现有的系统，需要对其进行现代化改造。那么，我们该如何处理几十年前的COBOL软件呢？这些软件没有安装说明，也没有人知道它是如何配置和工作的。在代码开发、代码转换和现代化方面，我们如何利用人工智能来实现现代化，并提升这些功能？我们能否利用人工智能来帮助我们重新构建其中的一些功能？我们如何从这些单体架构过渡到微服务架构，并分解这些系统？当我们查看应用程序内的数据流时，如何将功能以应用程序编程接口的形式公开？人工智能在尝试分解这些数据流方面非常有用，它可以指导如何将其迁移到微服务架构中。”

文章来源：奇安网情局

点击下方卡片关注我们，

带你一起读懂网络安全 ↓