国防科技企业呼吁国防部统一软件认证标准

快速阅读: 据美国防部方面消息，国防科技企业普遍采纳NIST安全软件框架，但由于缺乏统一认证标准和流程，合规执行仍面临困难。为此，国防部计划于2026年1月初上线“软件快速通道”计划，以缩短审批周期并推动授权结果互认。

美国防部近期发布的一份汇总文件显示，国防科技企业普遍认同安全软件的基本标准，但在如何证明符合国防部安全要求方面，行业仍缺乏统一认识。据代理国防部首席信息官（Acting DoD CIO）凯蒂·阿灵顿发布的报告，业界普遍反映当前缺少“一致且标准化的认证流程”。

该文件基于对三项国防部信息征询所收集的行业反馈分析而成。报告指出，企业强烈呼吁国防部明确定义有效认证的标准、所需提交的材料，并确保全系统执行统一。同时，资源限制、供应链透明度不足以及文化障碍等因素，进一步增加了推行稳健安全软件开发实践的复杂性。

在回应国防部“软件快速通道”（SWFT）倡议的信息征询时，超过75%的受访企业表示已采用美国国家标准与技术研究院（NIST）发布的《安全软件开发框架》。该框架与国防部的软件安全和风险管理方法基本一致。此外，多数企业也参考了开放式全球应用安全项目（OWASP）的相关标准。

然而，企业向五角大楼指出，合规要求仍存在较大不确定性。例如，何为有效认证、需提交哪些证据、认证频率如何，以及是否允许企业自我认证或必须依赖第三方评估等问题尚不清晰。由于NIST框架属于指导性而非清单式，企业担忧其执行易受主观解读影响，导致部门内部标准不一。

阿灵顿今年4月启动SWFT计划，旨在改革国防部采购、测试和授权安全软件的方式。她批评现有的风险管理体系（RMF）和“运行授权”（ATO）流程过于迟缓，主张转向动态、持续的授权模式。为此，CIO办公室此前就工具使用、外部评估方法及人工智能在加速安全软件部署中的作用公开征集意见。

首轮征询结果显示，企业在将安全框架融入现有工作流时面临挑战。报告称，满足NIST SP 800-218合规要求需大量自动化工具集成，手动整合文档亦难度较大。与此同时，约90%的企业愿意向国防部提供软件物料清单（SBOM），并已开展软件风险评估。多数企业表示，相关评估结果由自动化工具生成，且愿意通过标准化格式和安全交换机制高效提交。

企业还建议，允许通过应用程序接口（API）直接向国防部平台（如eMASS）上传安全评估成果，以加快审查进程。此外，多数公司目前结合内部与外部审计方式开展软件安全评估。

为提升软件安全评估效率，美国防部正加快推进“软件快速通道”（SWFT）计划，预计将于2026年1月初正式上线。该计划旨在将软件审批周期从数月甚至数年缩短至数日，并依托统一的eMASS基线系统，确保授权（ATO）结果可在各机构间互认。

内部审计机制通常包括持续监控、代码审查及定期红队演练，以在漏洞被利用前及时发现。同时，企业普遍引入第三方审计机构或独立渗透测试团队开展外部评估，以客观验证其安全防护能力。主要合规框架涵盖联邦风险与授权管理计划（FedRAMP）、NIST网络安全标准及服务组织控制（SOC）体系，这些标准被视为组织具备成熟安全能力的重要体现。

企业强调，外部评估须设置明确边界。评估机构需具备高安全环境作业经验、规范的数据处理流程、健全的质量管理体系，并保持高度独立性。执行人员应持有行业认可的专业认证，且熟悉国防部安全框架。

在技术应用方面，业界认为自动化与人工智能可显著加速软件风险评估进程，尤其在减少人工文书负担和实现持续监控方面潜力突出。其中，自动化适用于重复性、规则化任务，而人工智能则具备类人决策与学习能力。但企业也指出，AI应用面临可解释性不足、数据质量参差及模型可靠性等挑战，授权官员必须清晰理解风险判定依据。

上述内容系基于12月8日美国防信息系统局年度“产业展望”活动披露信息整理。

(以上内容均由Ai生成)

引用自：Federal News Network联邦新闻网