美国防部拟加强软件采购安全验证：提高供应链可见性 禁止过时软件

前情回顾·美国政府采购网络安全要求

• 美国防部拟制定更快速更全面的软件网络安全标准

• 美国众议院通过法案：强制政府供应商设立漏洞披露计划

• 美陆军为小型企业提供安全协作“飞地”，打造供应商安全新典范

• 安全必须服务于业务！美军探索小型承包商数据合规新方法

• 美国政府拟确定联邦采购网络安全基线要求

安全内参5月9日消息，美国国防部正在全面改革其“过时”的软件采购系统，并坚称将安全性置于决策流程的核心。

美国国防部首席信息官凯蒂·阿灵顿于周一（5日）发布备忘录，宣布成立“软件快速通道”（SWFT）计划，承诺彻底变革软件的采购、测试和授权方式。

阿灵顿在备忘录中写道：“国防部在网络安全和供应链风险管理（SCRM）方面的现行做法，必须适应并跟上软件开发的节奏，以及应对日益复杂和演变中的供应链风险。”

“目前冗长且落后的网络安全授权流程，阻碍了敏捷开发与持续交付的推进。同时，广泛使用的开源软件由全球开发者共同参与，也带来了长期而严峻的挑战。”

“国防部当前难以追踪软件代码的来源及其安全性，这严重制约了我们对软件安全的保障能力。”

在公开声明中，阿灵顿进一步指出，目前的软件采购流程“既陈旧又缓慢，几乎无法实现供应链的可视化”。

美国防部将更新软件采购的网络安全和供应链风险管理要求

SWFT计划将对网络安全和供应链风险管理的要求进行明确定义，不过这些要求尚未最终确定。

目前，国防部已发布多项信息请求（RFI），征求业界对SWFT计划各个方面的意见，截止时间为5月下旬，议题包括如何最有效地利用AI授权安全软件，以及如何设定有效的供应链风险管理标准等。

供应链风险管理还将明确国防部如何验证任何软件产品的安全性、如何建立安全的信息共享机制，并加快软件采纳与授权的整体流程。

阿灵顿的办公室计划在90天内制定出SWFT计划的框架与实施方案。

国防部在声明中指出：“提升我们快速向作战人员提供高质量、安全软件的能力，将大幅增强联合部队的作战效能与弹性。”

声明还强调：“我们首要任务当然是为作战人员提供最先进的武器系统，但无须重复且浪费的流程来实现这一目标。”

“这正是我们兑现总统重建军队、重塑战士精神承诺的具体体现之一。”

美国防部体系屡次出现泄密事件，软件漏洞是主要攻击途径

近年来，美国国防部的安全体系频频遭受挑战，从采购系统被恶意软件攻击，到防务合作伙伴近两年泄露敏感信息。

在上述敏感合作方的泄密事件和地方政府及联邦政府的其他案例中，软件漏洞往往被认定为黑客入侵的最初通道。SWFT计划的核心目标之一，正是减少此类事件的发生频率。

与此同时，美国网络安全与基础设施安全局（CISA）也在推动政府软件系统的安全性提升，但该机构长期受到特朗普政府的批评与攻击。

CISA此前推动了多个项目，包括倡导“设计安全”的软件开发理念、提升公众对广泛使用程序中内存安全问题的关注，以及启动“已知被利用漏洞”（KEV）计划，要求所有联邦机构在数周内修补最危险的安全漏洞。

不过，尽管国防部坚持软件采购必须具备安全性与供应链可视性，但如果自身仍以不安全方式处理五角大楼的敏感事务，这一切努力也将功亏一篑。

据悉，一款基于Signal开源项目二次开发的消息与归档软件TeleMessage近日正在“调查一起潜在的安全事件”，据称身份不明的不法分子可能获取了美国政府的通信内容，该软件曾被前国家安全顾问迈克尔·沃尔兹使用。

早前有报道称，沃尔兹主持的一个关于也门军事行动的Signal群组，曾被《大西洋月刊》的主编误入，后者将群聊内容如实泄露。

报道称，美国国防部长彼得·海格塞斯目前频繁使用这款加密聊天应用处理五角大楼事务，据说他至少在12个群组中参与讨论部门事务。

前美国高级情报官员马克·波利梅罗普洛斯在接受《华尔街日报》采访时表示：“使用个人手机和商业应用带来了不必要的安全风险。政府之所以不将Signal视为机密通信工具，是有充分理由的。显然，美国政府系统难以跟上现实业务的节奏。”

参考资料：https://www.theregister.com/2025/05/06/us_dod_software_procurement/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。