美国防部正式授权名为“软件快速通道”的新软件审批流程

编者按

美国防部4月23日签署授权名为“软件快速通道”（SWIFT）新流程的备忘录，旨在彻底改革美国防部软件采购的方式，优先考虑速度、灵活性和安全性。

美国防部新的网络软件快速审批流程将使用人工智能工具，从根本上缩短目前需要数月或数年的人工审批流程，以取代原先的操作授权（ATO）流程和风险管理框架（RMF）。其中，操作授权用于管理软件产品在军事网络上的使用方式，风险管理框架用于指导美国防部的网络安全决策。新流程不会完全放弃风险管理框架，只是对其进行调整以适应新的方法，从而确保安全性和合规性。美国防部代理首席信息官凯蒂·阿灵顿表示，操作授权和风险管理框架“愚蠢至极、过时至极”，必须予以废除；美国防部主要关注五个方面，包括软件是否在安全的设计流程中开发以及如何验证、是否在零信任模式下工作以及如何验证、如何进行持续监控。

该流程建立在美国空军软件工厂Kessel Run开发“快速通道ATO”流程上并更进一步，不仅改变了评估授权的手段，还改变了评估授权的标准。具体来说，该流程将通过名为“体系任务保障支持服务”（eMASS）的政府网络应用程序收集有关供应商网络安全的第三方数据以及有关其软件构成的技术信息，并将其保存在作为存储承包商绩效和网络安全合规信息数据库的“供应商绩效风险系统”（SPRS）中。美国防部将根据12个风险特征（从财务运营到网络安全）评估软件安全性，而软件供应商必须为其产品和生产环境提供软件物料清单（SBOM），并获得独立第三方的认证。如果所有数据都符合要求，美国防部就可授予软件临时操作授权资格。

奇安网情局编译有关情况，供读者参考。

美国防部代理首席信息官凯蒂·阿灵顿4月23日表示，国防部正在启动一项新计划，彻底改革其软件采购方式——优先考虑速度、灵活性和安全性。新的软件审批框架是美国防部推动技术获取方式现代化的更广泛举措的一部分，旨在加快操作授权（ATO）流程，同时确保应用程序的安全。

凯蒂·阿灵顿在AFCEA华盛顿特区午餐会上对业内高管表示，“我不再需要经历寻找项目经理审查软件、将其发送到实验室并等待测试的艰苦过程......我已经融入现代社会了。”

凯蒂·阿灵顿表示，美国防部网络软件的新快速审批流程将使用人工智能工具，从根本上缩短目前需要数月或数年的审批流程。她表示，新的“软件快速通道”（SWIFT）流程将使用“后端人工智能工具”来取代操作授权（ATO）流程以及风险管理框架（RMF）。前者管理软件产品在军事网络上使用的方式，后者十多年来一直指导美国防部的网络安全决策。

凯蒂·阿灵顿猛烈抨击操作授权（ATO）要求提供大量纸质文件，称“我要废除风险管理框架（RMF），废除操作授权（ATO）。它们愚蠢至极，过时至极”。

相反，凯蒂·阿灵顿表示，“软件快速通道”（SWIFT）将通过名为“体系任务保障支持服务”（eMASS）的政府网络应用程序收集有关供应商网络安全的第三方数据以及有关其软件构成的技术信息，并将其保存在“供应商绩效风险系统”（SPRS）中，该系统是一个存储承包商绩效和网络安全合规信息的数据库。

美国防部首席软件官罗布·维特迈尔4月10日初首次预展了“软件快速通道”（SWIFT），但这是首次有人提出新流程将消除风险管理框架（RMF）的作用，自2014年采用以来，该框架一直是国防网络安全风险管理的名副其实的“圣经”。

“软件快速通道”（SWIFT）似乎建立在美国空军最初的软件工厂Kessel Run开发并于2019年在整个空军试行的流程之上，该流程被称为“快速通道ATO”。但凯蒂·阿灵顿表示，“软件快速通道”（SWIFT）还将更进一步，因为授权标准本身将发生变化，而不仅仅是评估授权的手段。她表示，软件供应商必须为其产品和生产环境提供软件物料清单 （SBOM），并获得独立第三方的认证。

软件物料清单 （SBOM）实际上是计算机程序中所有其他软件的索引。现代软件广泛使用公开可用的程序（称为开源代码库）来执行计算任务。但这意味着其中一个库中的漏洞可能会导致任何使用它的程序也面临同样的漏洞，因此记录特定软件的所有依赖项至关重要。

凯蒂·阿灵顿解释说，根据新计划，美国防部将根据12个风险特征（从财务运营到网络安全）评估软件安全性。

凯蒂·阿灵顿表示，其对软件提供商的建议是：“通过上传到‘体系任务保障支持服务’（eMASS），为我提供适用于沙盒和生产环境的SBOM以及第三方SBOM。”凯蒂·阿灵顿宣称，“我将在后端使用人工智能工具来审查数据，而不是等待人工审核。如果所有数据都符合要求，就可以获得临时操作授权（ATO）资格。”

凯蒂·阿灵顿称，其授权新流程的备忘录“今天”就已签署。作为美国防部代理首席信息官，凯蒂·阿灵顿负责制定国防部范围内的IT事务政策。凯蒂·阿灵顿称，这份备忘录将发送给“五角大楼里的所有首席信息官和首席信息安全官”，“在接下来的一两周内”，将向业界发出信息邀请书，以帮助完善细节。

该计划的一部分包括确定如何摆脱传统的风险管理框架（RMF），同时仍然确保安全性和合规性。凯蒂·阿灵顿表示，虽然美国防部新的“快速通道”计划旨在使流程现代化，但不会完全放弃风险管理框架（RMF）——只是对其进行调整以适应新的方法。

凯蒂·阿灵顿称，“我希望消除风险管理框架（RMF），我真正关心的只有五件事。你们正在做的事情是否在安全的设计流程中开发？我如何验证这一点？你们是否在零信任模式下工作？我如何验证这一点？以及，你们如何进行持续监控？”

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。