技术交流 | 美国国防部软件现代化战略(下)

点击

“航天软件和数字化”

关注我们

 
摘要:为实现“以相应的速度提供弹性软件能力”的愿景,美国国防部发布了《国防部软件现代化战略》。本战略提出了软件现代化工作的统一原则和工作框架,并总结了三大长期目标:加快建设国防部的企业级云环境;打造面向整个国防部的软件工厂生态体系;以流程改革提升弹性和速度。在每项长期目标下都设置了若干个近期目标,这些近期目标将重点关注软件现代化框架下的技术基石和流程改革问题。
 
本战略提出了3大目标,分别代表了DoD实现软件现代化愿景的3项长期工作。此外,每项大目标下还设置了若干个近期小目标,这些小目标的重点在于软件现代化框架下的技术基石和流程改革。
大目标1:加快建设国防部的企业级云环境
DoD和商业云服务提供商必须通力合作,以便既迅速且安全地部署云服务,又确保网络安全活动的透明度。本目标正是拜登总统签署的第14028号行政令《关于改善国家网络安全的行政命令》的核心内容,要求加紧保障云服务的安全,并强调了商业关系的重要性。
小目标1:形成一组成熟的创新性云合同
在确保所有下属部门都能使用云服务的前提下,DoD将与企业界密切合作,不断改进云服务的合同流程,从而形成一组更加全面和多样化的创新性云合同。这些合同既要吸收现有采办流程的优点,也要避免彼此重复。
小目标2:保护云数据
保护云数据的关键在于改进授权流程和在云平台上开展 DCO。
在流程方面,DoD将采用三级云安全流程,即联邦级流程(FedRAMP 项目)、DoD的专有流程(临时授权),以及由合作方独立开展的政府网络安全测试与评估。DoD将通过这些流程来列明符合其安全标准的云服务产品,并执行各系统或应用程序的安全合规流程(即操作授权),以确保依据各下属单位的风险承受能力来采取适当的安全控制措施。此外,为了更好地了解系统或应用程序遭受攻击后的恢复能力,DoD还必须在开发和运行阶段开展单独的网络安全测试。
在DCO方面,DoD必须尽早发现漏洞,对可疑行为作出快速反应,并考虑是否需要反复开展网络安全测试和评估。这些DCO既包括技术措施,也包括事件上报与响应流程。此外,为协调云事件响应工作,在DoD各下属部门之间以及DoD与企业界之间都应展开合作。
小目标3:通过自动设计模式加快云运用步伐
为便于建立和配置虚拟开发环境,DoD必须提供可重复使用的自动化设计模式,比如“基础设施即代码”“合规即代码”和加固式软件容器等。这些模式必须符合如下要求:
(1)适用于整个 DoD;
(2)集成到授权流程中;
(3)持续更新;
(4)其配置受到控制;
(5)立足于行业最佳做法,以及规定的或公认的标准;
(6)有多种实行方式。
小目标4:在美国本土以外建设云基础设施
在美国本土以外(OCONUS)部署军队是使美国保持可信威慑力的关键所在,而为确保威慑力,驻外美军部队必须获得与本土部队相同或更好的能力。这意味着DoD必须改善包括设施和网络在内的OCONUS云基础设施,以便驻外部队能够充分利用云服务来访问数据。
大目标2:打造面向整个国防部的软件工厂生态体系
为保持竞争优势,DoD必须以更大的规模和更快的速度生产安全且具有弹性的软件,为此必须建立面向整个DoD的软件工厂生态体系。该体系应借助各军种的现有资源(例如空军的“一号平台”、海军的“压制软件军械库”、海军陆战队的“业务运作支援服务”和陆军的“编码资源与改革生态体系”等),并允许跨项目 /跨军种运作。
小目标5:通过企业提供商推进DevSecOps
DoD必须合理确定DevSecOps提供商的数量,而由 DevSecOps平台构成的生态体系不仅要提供技术能力和有吸引力的流程(例如业务运作模式、维持模式和网络安全流程),还要有能力应对各类任务场景。
小目标6:通过持续授权加快软件部署
DoD各下属部门普遍认为“操作授权”(Authorization To Operate,ATO)是在软件开发与部署过程中最耗时的环节,因此,DoD应利用自动化手段重新评估ATO流程,以便将授权活动从“勾选数百项安全控制措施”模式改为“持续授权”模式。“持续授权”模式包括检验软件开发平台、流程及平台团队的质量与安全,并利用自动化手段持续生成实时的检验结果,以证明相关平台的防御态势并实时生成相应软件。DoD的网络安全专业人士必须与软件开发人员和系统工程师共同核查这些检验结果及相关渠道,以确保现有保护措施符合强弹性和高生存力软件的需要。
小目标7:利用企业级知识库推动工具层面的互动
商业工具对软件开发至关重要,但为避免重复劳动和延迟部署,DoD不会持续不断地评估每个网络领域的商业工具。相反,商业工具一旦通过网络安全审查,DoD就应立即通过企业级知识库将其提供给相应的用户。
小目标8:简化端到端软件无缝交付过程中的控制点
按照当前的网络访问批准流程或网络安全合规流程,软件工厂编写的代码需要经过数月才能进入操作环境。为缩短这一时间,DoD必须简化各种组织和网络边界上的控制点和决策批准事项,并推动建立从开发环境直通操作域的端到端软件交付模式。
小目标9:使创新成果更快服务于一线官兵
为避免数字基础设施落后于人,DoD须采取2个方面的措施:一方面,必须借助企业界、学术界和科技界来推动技术方案的互惠互利,建立创造性的合作关系,并促成相关试验;另一方面,必须在各群体之间建立创新渠道,以便以更快的速度和更大的规模将研究工作从试点推向实用。
大目标3:以流程改革提升弹性和速度
DoD规模庞大、机构繁杂,规范其采购、执行和运作的法律与流程五花八门,其中许多都颇有些年头,已跟不上技术发展的步伐。因此,为了维持作战主导权,DoD必须开始改变其行事方式,通过流程改革来提升软件领域的弹性和速度。
小目标10:调整政策、法规和标准
DoD领导层必须在政策、法规和标准中贯彻软件现代化理念,例如在制定政策和作出指导时,应考虑到软件管理、安全和开源等因素,并在限制与创新之间取得平衡。此外,DoD还必须参与行业标准机构和国际标准机构,以确保这些机构推行的软件标准有利于国际社会。
小目标11:增强采办灵活性
目 前,DoD正在从采办周期和经费上增强软件项目的采办灵活性,这方面的工作包括DoD制定的软件获取途径“适应性采办框架”,以及经美国国会批准的“预算活动 8(BA8):软件研究、开发、测试和评估拨款”试点项目等。今后,DoD必须改善其软件项目在采办和经费方面的灵活性。
小目标12:将软件视为数据
软件代码也是一种数据资产,按照发布的《国防部数据战略》,DoD必须为软件的开发、维护和保护提供相应的数据权限。为此,DoD应与企业界合作制定知识产权战略,以更好地平衡DoD和软件供应商的投资回报。此类战略应注重采用模块化的开放式系统,并推动各方就专业许可事宜展开磋商,以确保在把DoD视为客户、共同投资者和共同开发者的基础上,灵活制定互惠互利的业务安排。
小目标13:提升技术能力
为了吸引和留住人才,DoD必须尽早制定面向未来的技能规划,并调整招募流程、职业发展计划和员工激励机制。各军种必须合力制定可修订的基本训练标准清单,并通过扩充跨军种在职实习项目和轮岗机制的方式来强化其训练。
小目标14:准许更多员工做出技术贡献
并非只有开发人员才能推动软件现代化,包括基础设施管理人员和操作员在内的所有员工都有机会做出技术贡献。为此,DoD必须努力培养一支所有人都懂技术的员工队伍,而全体员工必须了解各自在软件交付中的职责,并摸索简化流程、提升自动化水平和改善技术效能的方法。
小目标15:通过管理商用现货软件来提升效率和效益
在提升软件开发能力的过程中,DoD采取了 2 个方面的措施:一方面,必须以颁发企业许可证的方式实现规模经济,在测试方的配合下及时发布改善软件安全性和性能的更新和补丁,并设法使用成熟的软件产品及相关的安全技术实施指南;另一方面,必须采取强有力的软件资产管理措施,以改善软件投资、软件许可证和整体软件库存的可见性和回报,从而打造出成本效益良好的软件组合。
小目标16:鼓励使用企业服务
为体现企业服务的经济效益,DoD必须为各类企业服务制定更加可靠的经费拨发与资源分配流程,从而使这些服务达到或超过最终用户要求的水准。DoD领导层必须通过密切合作来确定如何从财务上支持企业服务,例如,设置专门用于软件现代化的周转资金或是采用服务费颇具竞争力的标准业务模式等。

 

 

实施软件现代化战略需要DoD各下属部门的共同参与。具体来说,DoD首席信息官、分管采办与维护的DoD副部长和分管研究与工程的DoD副部长将牵头协调各项软件现代化工作,根据实际的财务状况,在“数字现代化基础设施执行委员会”的指导下组成“软件现代化高级指导组”( Software Modernization Senior Steering Group,SW Mod SSG),而SSG将合理安排相关工作的优先顺序,并通过制定和落实年度行动计划来逐步达成各项目标。SSG还将制定用于衡量工作进展的业绩标准,并定期重新评估年度行动计划,以确保优先事项和目标工作仍然符合战略需求。SSG将按照本战略及各种指导文件(例如相关的政策、参考设计和标准等)落实工作,确保将本战略与JADC2、ZTA以及电磁频谱优势等其他理念相结合。最终SSG将建立一套软件能力组合,以此来整合各项工作,形成预算决策,并确保明智地使用资源。

 

 

软件既是新兴技术的基石,也将成为美国国防的一大特色、优势和关键资产。本战略只是DoD实现软件现代化的第一步,其立足当前的发展势头,依托DoD的相关发明和成果,以“以相应的速度提供弹性软件能力”为愿景,确定了软件现代化的总体原则,建立了共同的认知框架,并提出了若干个初步目标。DoD把软件现代化视为一段永无止境的旅程,为此其将在软件领域不断奋进,以加强和维持美军的作战主导权。

 

END

 

点击阅读原文了解更多

浏览量:0
上一篇:
下一篇:
首页    学术交流    技术交流 | 美国国防部软件现代化战略(下)
创建时间:2022-08-23 13:35