五角大楼拒绝使用更多开源代码

作者： 安德鲁埃弗斯登

五角大楼表示，NDAA授权的开源软件试点计划是不可行的。

根据政府问责局（GAO）9月10日的一份报告，美国国防部尚未充分实施国会授权的试点计划，该计划将增加五角大楼对开源代码的依赖。

五角大楼未能遵循管理和预算办公室2016年8月的备忘录，该备忘录指示各机构制定试点计划，将其新开发的代码的20％作为开源发布，并建立衡量成功的指标。2018财政年度国防授权法案要求五角大楼遵守该政策。开源编程允许用户修改、重用和共享代码。GAO表示，开源可以降低成本并提高效率。根据该报告，题为“国防部需要充分落实计划试点开源软件， ”从美国国防部内的11个部门的官员说，将提高效率和经济效益。

GAO声称：“然而，对于如何管理使用开源软件的网络安全风险存在截然不同的观点。”具体而言，三个组成部门的官员指出，由于安全问题，可能会只会少量使用开源，而其它八个部门官员表示潜在的网络安全风险是可管理的[原文如此]。”

据GAO称，截至2019年7月，五角大楼只发布了不到10％的定制开发代码，远低于20％的目标。

五角大楼首席信息官Dana Deasy负责实施这些要求。根据OMB指南，各机构必须制定政策，以便政府对代码进行重复使用，进行软件解决方案分析，查看替代软件选项，保护数据权利和库存自定义代码，以及促进代理之间通信的方式发布代码。美国国防部尚未发布开源代码政策，但已“部分实施”其他三项要求。

五角大楼推迟了GAO的第一个建议 - 国防部应该实施开源试点计划 - 五角大楼“不相信OMB备忘录中描述的试点计划可以按照提议实施。”部门负责人认为“大多数美国国防部的定制开发软件是为武器系统创建的，释放相关代码对于国家安全原因是敏感的，“GAO报道。

Deasy的办公室还表示，国防部的规模使得很难清点所有代码的使用情况。

“首席信息官报告说，该部门的规模使得几乎无法清点自2016年8月以来定制开发的所有源代码。因此，首席信息官表示很难满足OMB备忘录的目标，即发布至少20％它的新自定义代码作为OSS [开源软件]”。

根据该报告，五角大楼也没有制定评估试点项目绩效的指标，“由于该部门对于应收集哪些数据还缺乏共识。”

“根据首席信息官的说法，如果措施是”代码行“，那么它会对那些在研究上投入大量资金的项目进行不公平的折扣，但其他方面却很小，”GAO写道。“如果措施是"项目时间"，那么它会对那些花费很少时间开发的创新火花产生的项目进行打折。如果措施是“项目计数”，那么它会忽略其他两种可能的措施。“

GAO采访的一些官员也对开源代码带来的网络安全风险表示担忧。美国海军首席信息官办公室的一位官员表示，他们担心心怀不满的员工会插入恶意代码。该官员告诉GAO，如果没有验证开源代码完整性的流程，海军就缺乏所需的风险保证，这项服务与商用现货产品有关。由于缺乏治理结构，另一位官员担心会出现问题。

其他官员表示，通过在软件中构建安全性，在部署代码之前验证代码，以及为验证代码创建存储库可以降低风险，可以缓解安全问题。

GAO写道：“在国防部完全实施其试点计划并建立完成OMB要求的里程碑之前，该部门将无法达到显着的成本节约和效率。”

声明：本文来自网电空间战，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。