美國國防部

陳 梅，孫 茂，李 南 譯

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

美國國防部（United States Department of Defense，DoD）內(nèi)的創(chuàng)新派們早就希望通過改革傳統(tǒng)的軟件交付模式，以便更快地交付性能更好的軟件。鑒于此，DoD 制定了軟件現(xiàn)代化戰(zhàn)略。本戰(zhàn)略預(yù)計(jì)將取得兩大成果：一是通過現(xiàn)代基礎(chǔ)設(shè)施和云平臺(tái)形成安全的軟件交付模式。DoD 已經(jīng)意識(shí)到技術(shù)對改進(jìn)軟件交付模式的重要性，因此，既要注重通過云平臺(tái)建立商業(yè)伙伴關(guān)系，還要力求建立服務(wù)于整個(gè)DoD 的“軟件工廠”。二是通過真正的流程改革和注重個(gè)人發(fā)展來實(shí)現(xiàn)上述成果。受制于DoD 內(nèi)的繁文縟節(jié)，當(dāng)前的軟件交付模式步調(diào)難以滿足需要。DoD 必須審查和修正各種需求、預(yù)算、采辦事項(xiàng)和安全流程，以便利用新的方法和技術(shù)來形成快速、優(yōu)質(zhì)且防護(hù)得當(dāng)?shù)能浖桓赌Ｊ健Ｈ欢?，要?shí)現(xiàn)這種改革，DoD 就必須注重個(gè)人的發(fā)展及其貢獻(xiàn)。

1 軟件現(xiàn)代化愿景

軟件在美國隨處可見，各種軟件不但融入了美國人的工作和生活，還決定了美國人的健康、經(jīng)濟(jì)和軍事能力。DoD 正日益依賴軟件所提供的自動(dòng)分析、決策和執(zhí)行能力，這些能力提升了效率、實(shí)現(xiàn)了創(chuàng)新，但也帶來了新的弱點(diǎn)和風(fēng)險(xiǎn)。鑒于此，美國的敵對勢力已開始把信息和數(shù)據(jù)作為武器和攻擊目標(biāo)，而軟件正是其發(fā)動(dòng)攻擊的手段。

未來戰(zhàn)爭的成敗與否，將取決于DoD 是否具備擅于快速且安全地交付各種彈性軟件的能力。這些能力必須能改善一線官兵和網(wǎng)絡(luò)防御單位的戰(zhàn)場感知水平，實(shí)現(xiàn)基于自動(dòng)化和機(jī)器學(xué)習(xí)的“聯(lián)合全域指揮與控制”（Joint All Domain Command and Control，JADC2），并通過數(shù)據(jù)的聚合和處理來幫助指揮官贏得決策優(yōu)勢。若想做到這一點(diǎn)，既不能依靠過時(shí)的平臺(tái)和程序，也不能僅靠DoD 單打獨(dú)斗。

一言蔽之，DoD 的軟件現(xiàn)代化愿景就是“以相應(yīng)的速度提供彈性軟件能力”。其中，“彈性”意味著提供優(yōu)質(zhì)而安全的軟件，這些軟件能夠經(jīng)受住各種嚴(yán)苛環(huán)境并從故障中恢復(fù)過來；“相應(yīng)的速度”是指交付速度要足以使美軍保持競爭優(yōu)勢。實(shí)現(xiàn)這一愿景的可行之策，就是將DoD 及其合作方的工作與軟件業(yè)巨頭的工作統(tǒng)一起來，在不違反DoD 流程的前提下，形成一套最頂尖的軟件能力。這些能力還必須與其他文職部門相契合，以吸納零信任架構(gòu)（Zero Trust Architecture，ZTA）、各種電磁頻譜能力以及日益增多的聯(lián)網(wǎng)式軍事裝備。

按照這一愿景，下文將確立統(tǒng)一相關(guān)工作的原則，為各項(xiàng)工作建立組織框架，并提出初步的行動(dòng)目標(biāo)。

2 統(tǒng)一原則

統(tǒng)一相關(guān)工作是DoD 實(shí)施軟件現(xiàn)代化工作的根本目的。為此所制定的統(tǒng)一原則已考慮到了DoD 現(xiàn)有的戰(zhàn)略以及多個(gè)領(lǐng)域的前沿水平，從而為本戰(zhàn)略賦予了包括技術(shù)視角在內(nèi)的全局觀念。

2.1 將安全性、穩(wěn)定性、質(zhì)量和速度置于首位

DoD 必須優(yōu)先保證彈性軟件運(yùn)行穩(wěn)定、質(zhì)量合格且能經(jīng)受住惡劣的網(wǎng)絡(luò)環(huán)境。為此，DoD可以積極地采取各種現(xiàn)代軟件開發(fā)措施，以此將性能和安全有效融入整個(gè)軟件開發(fā)周期，從而快速滿足其要求。

2.2 智慧云/智慧數(shù)據(jù)

云服務(wù)和數(shù)據(jù)是軟件現(xiàn)代化的基礎(chǔ)。要想最終獲得影響重大的能力，就必須讓軟件巧妙地采用云服務(wù)，并采納數(shù)據(jù)領(lǐng)域的一些最佳做法。為此，DoD 必須通過加快云應(yīng)用步伐來實(shí)現(xiàn)軟件現(xiàn)代化，并按照其發(fā)布的《國防部數(shù)據(jù)戰(zhàn)略》主動(dòng)管理數(shù)據(jù)。

2.3 優(yōu)先考慮企業(yè)能力

DoD 的預(yù)算資金有限，因此需要一套高效且合算的技術(shù)交付模式，而企業(yè)能力正是這種模式中的關(guān)鍵部分。協(xié)同管理企業(yè)能力有助于推動(dòng)技術(shù)運(yùn)用，并促使DoD 下屬部門將有限的資源發(fā)揮出最大價(jià)值。

2.4 全員參與

軟件現(xiàn)代化工作必須既受到強(qiáng)有力的領(lǐng)導(dǎo)，又由技術(shù)人才推動(dòng)，最終由技能嫻熟的員工落實(shí)。因此實(shí)現(xiàn)軟件現(xiàn)代化的關(guān)鍵因素在于發(fā)展、培訓(xùn)和招募DoD 員工。

2.5 不止于代碼

軟件現(xiàn)代化并不僅限于開發(fā)代碼，還包含許多力求將設(shè)想轉(zhuǎn)化為現(xiàn)實(shí)的政策、流程和標(biāo)準(zhǔn)。這些政策、流程和標(biāo)準(zhǔn)既應(yīng)有助于達(dá)成本戰(zhàn)略的愿景，也不應(yīng)忽視合同、知識(shí)產(chǎn)權(quán)以及“如何從開發(fā)過渡到實(shí)際部署”等因素。

3 軟件現(xiàn)代化框架

獲得軟件的方式主要有3 種：（1）采用DoD 下屬部門出資開發(fā)的現(xiàn)有應(yīng)用程序和云平臺(tái)；（2）通過傳統(tǒng)的軟件許可證制度購買軟件或用于開發(fā)軟件的組件，包括低代碼/無代碼平臺(tái)或訂閱的“云軟件即服務(wù)”；（3）定制軟件（通常是為了賦予DoD 某些獨(dú)特能力），可能包括復(fù)雜的系統(tǒng)體系、簡單的網(wǎng)頁（Web）應(yīng)用程序或嵌入式代碼。

不論選用哪種方式，軟件交付都不能一蹴而就，急功近利的軟件交付工作只會(huì)適得其反。為了保證快速、安全且持續(xù)地交付軟件，無論是采用外購軟件還是自主研發(fā)，所有現(xiàn)代軟件獲取方法都已吸納了模塊化設(shè)計(jì)原則和自動(dòng)化理念。

本戰(zhàn)略建立了一套軟件現(xiàn)代化框架，其中指明了實(shí)現(xiàn)軟件交付現(xiàn)代化所必需的技術(shù)基石和技術(shù)流程。需要指出的是，該框架雖然規(guī)范了軟件現(xiàn)代化工作中的常用詞匯和組織架構(gòu)，但其既談不上包羅萬象，也并非最終定論，其目的僅在于幫助有關(guān)部門把精力放到具體工作上。有關(guān)部門應(yīng)根據(jù)各種因素來決定是否采用該框架，例如，任務(wù)規(guī)定的軟件獲取方式（比如是采用外購還是自主研發(fā)）、軟件開發(fā)的復(fù)雜性（比如簡單的網(wǎng)站還是系統(tǒng)體系），以及軟件最終用戶的情況（比如是一線官兵、醫(yī)護(hù)人員還是招聘人員）等。

3.1 技術(shù)基石

為了以相應(yīng)的速度提供彈性軟件能力，DoD必須采用最新的技術(shù)和方法。上述軟件現(xiàn)代化框架中的技術(shù)基石將遵循任務(wù)要求、實(shí)現(xiàn)互操作性并確保安全，但這些技術(shù)基石并非面面俱到，它們彼此間也存在著千絲萬縷的聯(lián)系。軟件現(xiàn)代化框架以“同心圓”的形式來表現(xiàn)這些基石，這既是為了表明必須整合這些互補(bǔ)性基石（或者能力）才能實(shí)現(xiàn)最大價(jià)值，也是為了說明和軟件交付模式一樣，這些能力也會(huì)不斷發(fā)生變化。

3.1.1 國防部的企業(yè)級云環(huán)境

DoD 的企業(yè)級云環(huán)境是一套多云、多供應(yīng)商的生態(tài)體系，旨在提供覆蓋整個(gè)DoD 的云服務(wù)，其中包括基礎(chǔ)設(shè)施、平臺(tái)和軟件服務(wù)等。云環(huán)境始終是軟件現(xiàn)代化的基礎(chǔ)，它能以更快的速度獲取全球的計(jì)算能力和行業(yè)創(chuàng)新成果。如果能通過結(jié)構(gòu)化的方法來建立和維持這種云環(huán)境，便可提升服務(wù)質(zhì)量的一致性，實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)，并避免云濫用（Cloud Sprawl）帶來的風(fēng)險(xiǎn)。

3.1.2 設(shè)計(jì)模式

設(shè)計(jì)模式是指在軟件設(shè)計(jì)中的可復(fù)用方案，這些方案旨在解決特定背景下的常見問題，而自動(dòng)化的設(shè)計(jì)模式能安全地加快云運(yùn)用步伐和軟件開發(fā)進(jìn)度。在初期，“設(shè)計(jì)模式”基石將側(cè)重于那些構(gòu)成虛擬環(huán)境所需的常見工作，例如安全合規(guī)性掃描和訪問權(quán)管理等。有關(guān)部門可通過標(biāo)準(zhǔn)藍(lán)圖或模板來實(shí)現(xiàn)設(shè)計(jì)模式的自動(dòng)化，這將有助于在整個(gè)軟件開發(fā)過程中保持架構(gòu)和配置的一致性，并在實(shí)現(xiàn)規(guī)模化、互操作性和安全性，以及縮短任務(wù)時(shí)長方面發(fā)揮關(guān)鍵作用。

3.1.3 開發(fā)、安全及運(yùn)行（DevSecOps）/工具化

DevSecOps 是一種組織層面的軟件工程文化和理念，旨在統(tǒng)一軟件的開發(fā)、安全和運(yùn)行。DevSecOps 的主要特點(diǎn)是在軟件全生命周期過程中（包括規(guī)劃、開發(fā)、構(gòu)建、測試、發(fā)布、交付、部署、運(yùn)行和監(jiān)控等）始終貫徹安全原則、監(jiān)控安全水平和采用自動(dòng)化安全措施。同時(shí)能帶來的好處包括減少從開發(fā)到部署的時(shí)間、提升安全性以及加快獲取能力的速度等。DevSecOps/工具化擁有“能夠持續(xù)整合和交付由軟件工廠生產(chǎn)的安全軟件”的一系列能力，其中，“軟件工廠”是指負(fù)責(zé)軟件開發(fā)和集成的“軟件組裝廠”，這種“工廠”擁有多條渠道，并配備了一系列工具、工作流、腳本和環(huán)境。憑借這些條件，“軟件工廠”能在盡量避免人為干預(yù)的情況下生成一組軟件型組件，從而在開發(fā)、構(gòu)建、測試、發(fā)布和交付階段自動(dòng)開展各項(xiàng)工作。此外，“軟件工廠”也允許采用多租戶架構(gòu)。要想最大限度地提高“軟件工廠”的效益，就必須通過DevSecOps 等方式將技術(shù)（例如工具和平臺(tái)）與流程改革（例如安全授權(quán)和安全測試）結(jié)合起來。

3.1.4 企業(yè)服務(wù)

企業(yè)可提供現(xiàn)成的組合式功能（例如安全服務(wù)、身份管理、應(yīng)用程序接口和數(shù)據(jù)分析）來支持DoD 的軟件現(xiàn)代化工作。由此一來，DoD 各下屬部門便可迅速地運(yùn)用各種安全能力來滿足各自的任務(wù)需求，從而讓有限的人才專注于開發(fā)獨(dú)具特色的軟件。此外，DoD 可將從企業(yè)購買的軟件交給所有下屬部門使用，以減輕其財(cái)務(wù)負(fù)擔(dān)。

3.2 技術(shù)能力倍增器

新興技術(shù)不斷改變著數(shù)字化格局，因此，在按照《國防部科學(xué)與技術(shù)戰(zhàn)略》采納這些技術(shù)時(shí)，DoD 必須考慮到它們對軟件現(xiàn)代化的技術(shù)基石和流程有何影響。在重新評估這些技術(shù)基石和流程時(shí)，DoD 不能僅局限于當(dāng)前的軟件開發(fā)理念，而是必須準(zhǔn)備好在新的條件下跳出思維定式。

3.3 流程改革

在建立軟件現(xiàn)代化框架時(shí)，DoD 已經(jīng)意識(shí)到必須改變流程才能用上新的技術(shù)。流程改革不僅要考慮步調(diào)和靈活性，還要對新舉措予以激勵(lì)，實(shí)行允許創(chuàng)新和試驗(yàn)的新版策略，并確保能從軟件合規(guī)階段轉(zhuǎn)向運(yùn)行就緒階段。對整個(gè)DoD 而言，流程改革應(yīng)從小處著手，然后逐步擴(kuò)大，最終推廣到整個(gè)DoD。流程改革預(yù)計(jì)將取得2 個(gè)成果：一是使采辦時(shí)間表變得更加緊湊；二是通過經(jīng)濟(jì)激勵(lì)來打破“孤島式”的業(yè)務(wù)運(yùn)作模式和服務(wù)管理模式，以及縮短網(wǎng)絡(luò)安全合規(guī)工作的籌備時(shí)間等。

3.3.1 業(yè)務(wù)運(yùn)作

為推廣共享軟件開發(fā)平臺(tái)和可復(fù)用軟件，DoD 必須改變其內(nèi)部的經(jīng)濟(jì)制度，調(diào)整催生“孤島式”業(yè)務(wù)運(yùn)作和服務(wù)管理的因素，并通過資源激勵(lì)來形成共享、復(fù)用和信任各類軟件的氛圍。具體而言，DoD 必須將激勵(lì)措施納入需求和預(yù)算流程中，并通過優(yōu)化內(nèi)部管理業(yè)務(wù)的方式來簡化共享服務(wù)交易。

3.3.2 采辦

軟件需求千變?nèi)f化，軟件的更新速度也快過以往，然而，目前的采辦和合同周期太慢，軟件在交付時(shí)可能就已過時(shí)。因此，為適應(yīng)當(dāng)前的節(jié)奏和靈活性，DoD 必須繼續(xù)改革軟件采辦模式，同時(shí)也需要企業(yè)界的配合。

3.3.3 網(wǎng)絡(luò)生存能力

“遵守現(xiàn)行規(guī)定即可確保網(wǎng)絡(luò)安全”的心態(tài)可能會(huì)帶來錯(cuò)誤的安全感，DoD 應(yīng)把“網(wǎng)絡(luò)安全”視為一種動(dòng)力，而“符合網(wǎng)絡(luò)安全規(guī)范”則應(yīng)是這種動(dòng)力的結(jié)果，而不是相反?；诖耍珼oD 必須把“反映一時(shí)之需”的網(wǎng)絡(luò)安全合規(guī)文化轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全從業(yè)者所遵從的文化，即把自動(dòng)化及實(shí)時(shí)、持續(xù)的風(fēng)險(xiǎn)監(jiān)控（包括供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)控和快速的事件響應(yīng)）視為應(yīng)有之義，并將這些理念整合到軟件開發(fā)渠道之中。DoD 必須盡早確定符合系統(tǒng)安全工程理念的方式方法，利用新的技術(shù)和方法來簡化軟件的風(fēng)險(xiǎn)流程，為各類授權(quán)持續(xù)提供必要的信息，并落實(shí)防御性網(wǎng)絡(luò)空間行動(dòng)（Defensive Cyberspace Operations，DCO）。

3.3.4 測試

軟件將在武器平臺(tái)和任務(wù)能力中扮演更加重要的角色，因此，DoD 必須將可靠的軟件測試環(huán)節(jié)整合進(jìn)軟件交付渠道，并在這些環(huán)節(jié)中留出“評測端到端任務(wù)線程”的余地。在軟件測試階段，DoD 不能僅靠運(yùn)行一遍腳本就對軟件特性和功能作出評估，而是必須將運(yùn)行場景納入測試，以確保運(yùn)行效果能夠達(dá)到期望水平并滿足最低要求。為提升網(wǎng)絡(luò)生存能力，在軟件開發(fā)過程中，DoD 必須開展合作性和對抗性的滲透測試以及持續(xù)性的網(wǎng)絡(luò)測試，并在部署軟件后反復(fù)進(jìn)行網(wǎng)絡(luò)測試，以確保實(shí)現(xiàn)積極主動(dòng)的網(wǎng)絡(luò)防御。

3.3.5 員工隊(duì)伍

要想采取現(xiàn)代化的軟件開發(fā)與交付模式，就得調(diào)整DoD 的員工隊(duì)伍。具體而言，DoD 需要采取6 個(gè)方面的措施：一是要想調(diào)整戰(zhàn)術(shù)邊緣作戰(zhàn)平臺(tái)的算法，就得有軟件人才；二是要想用低代碼/無代碼平臺(tái)處理數(shù)據(jù)，就得有技能嫻熟的分析師；三是要想推出軟件定義型機(jī)器人技術(shù)，就得有一支掌握相應(yīng)開發(fā)與工程知識(shí)的靈活團(tuán)隊(duì)；四是必須吸引和留住人才，將人才推上領(lǐng)導(dǎo)崗位，并設(shè)法培養(yǎng)競爭所需的技能。五是改變面向員工的各類流程及團(tuán)隊(duì)文化；六是為了實(shí)現(xiàn)“由軟件定義的”未來，需要具備各個(gè)專業(yè)的人才，改善專家與用戶之間的溝通，并建立一支精通技術(shù)的聯(lián)合部隊(duì)。這意味著各級領(lǐng)導(dǎo)者和管理者必須跳出窠臼，重新思考職業(yè)規(guī)劃、人員合作以及整個(gè)DoD 范圍內(nèi)的協(xié)調(diào)與配合問題。

3.4 成果

DoD 通過奠定技術(shù)基石和推進(jìn)流程改革來更快地提高一線官兵的作戰(zhàn)能力。彈性軟件將以更快的速度部署到任務(wù)中，利用高自動(dòng)化能力提升各類業(yè)務(wù)的效率和效益，對網(wǎng)絡(luò)威脅展開實(shí)時(shí)抵御，而各種軟件將促成以數(shù)據(jù)為中心、由數(shù)據(jù)驅(qū)動(dòng)的運(yùn)行環(huán)境，從而增強(qiáng)美軍的數(shù)據(jù)優(yōu)勢。

4 目標(biāo)

本戰(zhàn)略提出了3 大目標(biāo)，分別代表了DoD實(shí)現(xiàn)軟件現(xiàn)代化愿景的3 項(xiàng)長期工作。此外，每項(xiàng)大目標(biāo)下還設(shè)置了若干個(gè)近期小目標(biāo)，這些小目標(biāo)的重點(diǎn)在于軟件現(xiàn)代化框架下的技術(shù)基石和流程改革。

4.1 大目標(biāo)1：加快建設(shè)國防部的企業(yè)級云環(huán)境

DoD 和商業(yè)云服務(wù)提供商必須通力合作，以便既迅速且安全地部署云服務(wù)，又確保網(wǎng)絡(luò)安全活動(dòng)的透明度。本目標(biāo)正是拜登總統(tǒng)簽署的第14028 號行政令《關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令》的核心內(nèi)容，要求加緊保障云服務(wù)的安全，并強(qiáng)調(diào)了商業(yè)關(guān)系的重要性。

4.1.1 小目標(biāo)1：形成一組成熟的創(chuàng)新性云合同

在確保所有下屬部門都能使用云服務(wù)的前提下，DoD 將與企業(yè)界密切合作，不斷改進(jìn)云服務(wù)的合同流程，從而形成一組更加全面和多樣化的創(chuàng)新性云合同。這些合同既要吸收現(xiàn)有采辦流程的優(yōu)點(diǎn)，也要避免彼此重復(fù)。

4.1.2 小目標(biāo)2：保護(hù)云數(shù)據(jù)

保護(hù)云數(shù)據(jù)的關(guān)鍵在于改進(jìn)授權(quán)流程和在云平臺(tái)上開展DCO。

在流程方面，DoD 將采用三級云安全流程，即聯(lián)邦級流程（FedRAMP 項(xiàng)目）、DoD 的專有流程（臨時(shí)授權(quán)），以及由合作方獨(dú)立開展的政府網(wǎng)絡(luò)安全測試與評估。DoD 將通過這些流程來列明符合其安全標(biāo)準(zhǔn)的云服務(wù)產(chǎn)品，并執(zhí)行各系統(tǒng)或應(yīng)用程序的安全合規(guī)流程（即操作授權(quán)），以確保依據(jù)各下屬單位的風(fēng)險(xiǎn)承受能力來采取適當(dāng)?shù)陌踩刂拼胧４送?，為了更好地了解系統(tǒng)或應(yīng)用程序遭受攻擊后的恢復(fù)能力，DoD 還必須在開發(fā)和運(yùn)行階段開展單獨(dú)的網(wǎng)絡(luò)安全測試。

在DCO 方面，DoD 必須盡早發(fā)現(xiàn)漏洞，對可疑行為作出快速反應(yīng)，并考慮是否需要反復(fù)開展網(wǎng)絡(luò)安全測試和評估。這些DCO 既包括技術(shù)措施，也包括事件上報(bào)與響應(yīng)流程。此外，為協(xié)調(diào)云事件響應(yīng)工作，在DoD 各下屬部門之間以及DoD 與企業(yè)界之間都應(yīng)展開合作。

4.1.3 小目標(biāo)3：通過自動(dòng)設(shè)計(jì)模式加快云運(yùn)用步伐

為便于建立和配置虛擬開發(fā)環(huán)境，DoD 必須提供可重復(fù)使用的自動(dòng)化設(shè)計(jì)模式，比如“基礎(chǔ)設(shè)施即代碼”“合規(guī)即代碼”和加固式軟件容器等。這些模式必須符合如下要求：（1）適用于整個(gè)DoD；（2）集成到授權(quán)流程中；（3）持續(xù)更新；（4）其配置受到控制；（5）立足于行業(yè)最佳做法，以及規(guī)定的或公認(rèn)的標(biāo)準(zhǔn)；（6）有多種實(shí)行方式。

4.1.4 小目標(biāo)4：在美國本土以外建設(shè)云基礎(chǔ)設(shè)施

在美國本土以外（OCONUS）部署軍隊(duì)是使美國保持可信威懾力的關(guān)鍵所在，而為確保威懾力，駐外美軍部隊(duì)必須獲得與本土部隊(duì)相同或更好的能力。這意味著DoD 必須改善包括設(shè)施和網(wǎng)絡(luò)在內(nèi)的OCONUS 云基礎(chǔ)設(shè)施，以便駐外部隊(duì)能夠充分利用云服務(wù)來訪問數(shù)據(jù)。

4.2 大目標(biāo)2：打造面向整個(gè)國防部的軟件工廠生態(tài)體系

為保持競爭優(yōu)勢，DoD 必須以更大的規(guī)模和更快的速度生產(chǎn)安全且具有彈性的軟件，為此必須建立面向整個(gè)DoD的軟件工廠生態(tài)體系。該體系應(yīng)借助各軍種的現(xiàn)有資源（例如空軍的“一號平臺(tái)”、海軍的“壓制軟件軍械庫”、海軍陸戰(zhàn)隊(duì)的“業(yè)務(wù)運(yùn)作支援服務(wù)”和陸軍的“編碼資源與改革生態(tài)體系”等），并允許跨項(xiàng)目/跨軍種運(yùn)作。

4.2.1 小目標(biāo)5：通過企業(yè)提供商推進(jìn)DevSecOps

DoD 必須合理確定DevSecOps 提供商的數(shù)量，而由DevSecOps 平臺(tái)構(gòu)成的生態(tài)體系不僅要提供技術(shù)能力和有吸引力的流程（例如業(yè)務(wù)運(yùn)作模式、維持模式和網(wǎng)絡(luò)安全流程），還要有能力應(yīng)對各類任務(wù)場景。

4.2.2 小目標(biāo)6：通過持續(xù)授權(quán)加快軟件部署

DoD 各下屬部門普遍認(rèn)為“操作授權(quán)”（Authorization To Operate，ATO）是在軟件開發(fā)與部署過程中最耗時(shí)的環(huán)節(jié)，因此，DoD 應(yīng)利用自動(dòng)化手段重新評估ATO 流程，以便將授權(quán)活動(dòng)從“勾選數(shù)百項(xiàng)安全控制措施”模式改為“持續(xù)授權(quán)”模式?！俺掷m(xù)授權(quán)”模式包括檢驗(yàn)軟件開發(fā)平臺(tái)、流程及平臺(tái)團(tuán)隊(duì)的質(zhì)量與安全，并利用自動(dòng)化手段持續(xù)生成實(shí)時(shí)的檢驗(yàn)結(jié)果，以證明相關(guān)平臺(tái)的防御態(tài)勢并實(shí)時(shí)生成相應(yīng)軟件。DoD 的網(wǎng)絡(luò)安全專業(yè)人士必須與軟件開發(fā)人員和系統(tǒng)工程師共同核查這些檢驗(yàn)結(jié)果及相關(guān)渠道，以確?，F(xiàn)有保護(hù)措施符合強(qiáng)彈性和高生存力軟件的需要。

4.2.3 小目標(biāo)7：利用企業(yè)級知識(shí)庫推動(dòng)工具層面的互動(dòng)

商業(yè)工具對軟件開發(fā)至關(guān)重要，但為避免重復(fù)勞動(dòng)和延遲部署，DoD 不會(huì)持續(xù)不斷地評估每個(gè)網(wǎng)絡(luò)領(lǐng)域的商業(yè)工具。相反，商業(yè)工具一旦通過網(wǎng)絡(luò)安全審查，DoD 就應(yīng)立即通過企業(yè)級知識(shí)庫將其提供給相應(yīng)的用戶。

4.2.4 小目標(biāo)8：簡化端到端軟件無縫交付過程中的控制點(diǎn)

按照當(dāng)前的網(wǎng)絡(luò)訪問批準(zhǔn)流程或網(wǎng)絡(luò)安全合規(guī)流程，軟件工廠編寫的代碼需要經(jīng)過數(shù)月才能進(jìn)入操作環(huán)境。為縮短這一時(shí)間，DoD 必須簡化各種組織和網(wǎng)絡(luò)邊界上的控制點(diǎn)和決策批準(zhǔn)事項(xiàng)，并推動(dòng)建立從開發(fā)環(huán)境直通操作域的端到端軟件交付模式。

4.2.5 小目標(biāo)9：使創(chuàng)新成果更快服務(wù)于一線官兵

為避免數(shù)字基礎(chǔ)設(shè)施落后于人，DoD 須采取2 個(gè)方面的措施：一方面，必須借助企業(yè)界、學(xué)術(shù)界和科技界來推動(dòng)技術(shù)方案的互惠互利，建立創(chuàng)造性的合作關(guān)系，并促成相關(guān)試驗(yàn)；另一方面，必須在各群體之間建立創(chuàng)新渠道，以便以更快的速度和更大的規(guī)模將研究工作從試點(diǎn)推向?qū)嵱谩?/p>

4.3 大目標(biāo)3：以流程改革提升彈性和速度

DoD 規(guī)模龐大、機(jī)構(gòu)繁雜，規(guī)范其采購、執(zhí)行和運(yùn)作的法律與流程五花八門，其中許多都頗有些年頭，已跟不上技術(shù)發(fā)展的步伐。因此，為了維持作戰(zhàn)主導(dǎo)權(quán)，DoD 必須開始改變其行事方式，通過流程改革來提升軟件領(lǐng)域的彈性和速度。

4.3.1 小目標(biāo)10：調(diào)整政策、法規(guī)和標(biāo)準(zhǔn)

DoD 領(lǐng)導(dǎo)層必須在政策、法規(guī)和標(biāo)準(zhǔn)中貫徹軟件現(xiàn)代化理念，例如在制定政策和作出指導(dǎo)時(shí)，應(yīng)考慮到軟件管理、安全和開源等因素，并在限制與創(chuàng)新之間取得平衡。此外，DoD 還必須參與行業(yè)標(biāo)準(zhǔn)機(jī)構(gòu)和國際標(biāo)準(zhǔn)機(jī)構(gòu)，以確保這些機(jī)構(gòu)推行的軟件標(biāo)準(zhǔn)有利于國際社會(huì)。

4.3.2 小目標(biāo)11：增強(qiáng)采辦靈活性

目前，DoD 正在從采辦周期和經(jīng)費(fèi)上增強(qiáng)軟件項(xiàng)目的采辦靈活性，這方面的工作包括DoD 制定的軟件獲取途徑“適應(yīng)性采辦框架”，以及經(jīng)美國國會(huì)批準(zhǔn)的“預(yù)算活動(dòng)8（BA8）：軟件研究、開發(fā)、測試和評估撥款”試點(diǎn)項(xiàng)目等。今后，DoD 必須改善其軟件項(xiàng)目在采辦和經(jīng)費(fèi)方面的靈活性。

4.3.3 小目標(biāo)12：將軟件視為數(shù)據(jù)

軟件代碼也是一種數(shù)據(jù)資產(chǎn)，按照發(fā)布的《國防部數(shù)據(jù)戰(zhàn)略》，DoD 必須為軟件的開發(fā)、維護(hù)和保護(hù)提供相應(yīng)的數(shù)據(jù)權(quán)限。為此，DoD應(yīng)與企業(yè)界合作制定知識(shí)產(chǎn)權(quán)戰(zhàn)略，以更好地平衡DoD 和軟件供應(yīng)商的投資回報(bào)。此類戰(zhàn)略應(yīng)注重采用模塊化的開放式系統(tǒng)，并推動(dòng)各方就專業(yè)許可事宜展開磋商，以確保在把DoD 視為客戶、共同投資者和共同開發(fā)者的基礎(chǔ)上，靈活制定互惠互利的業(yè)務(wù)安排。

4.3.4 小目標(biāo)13：提升技術(shù)能力

為了吸引和留住人才，DoD 必須盡早制定面向未來的技能規(guī)劃，并調(diào)整招募流程、職業(yè)發(fā)展計(jì)劃和員工激勵(lì)機(jī)制。各軍種必須合力制定可修訂的基本訓(xùn)練標(biāo)準(zhǔn)清單，并通過擴(kuò)充跨軍種在職實(shí)習(xí)項(xiàng)目和輪崗機(jī)制的方式來強(qiáng)化其訓(xùn)練。

4.3.5 小目標(biāo)14：準(zhǔn)許更多員工做出技術(shù)貢獻(xiàn)

并非只有開發(fā)人員才能推動(dòng)軟件現(xiàn)代化，包括基礎(chǔ)設(shè)施管理人員和操作員在內(nèi)的所有員工都有機(jī)會(huì)做出技術(shù)貢獻(xiàn)。為此，DoD 必須努力培養(yǎng)一支所有人都懂技術(shù)的員工隊(duì)伍，而全體員工必須了解各自在軟件交付中的職責(zé)，并摸索簡化流程、提升自動(dòng)化水平和改善技術(shù)效能的方法。

4.3.6 小目標(biāo)15：通過管理商用現(xiàn)貨軟件來提升效率和效益

在提升軟件開發(fā)能力的過程中，DoD 采取了2 個(gè)方面的措施：一方面，必須以頒發(fā)企業(yè)許可證的方式實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)，在測試方的配合下及時(shí)發(fā)布改善軟件安全性和性能的更新和補(bǔ)丁，并設(shè)法使用成熟的軟件產(chǎn)品及相關(guān)的安全技術(shù)實(shí)施指南；另一方面，必須采取強(qiáng)有力的軟件資產(chǎn)管理措施，以改善軟件投資、軟件許可證和整體軟件庫存的可見性和回報(bào)，從而打造出成本效益良好的軟件組合。

4.3.7 小目標(biāo)16：鼓勵(lì)使用企業(yè)服務(wù)

為體現(xiàn)企業(yè)服務(wù)的經(jīng)濟(jì)效益，DoD 必須為各類企業(yè)服務(wù)制定更加可靠的經(jīng)費(fèi)撥發(fā)與資源分配流程，從而使這些服務(wù)達(dá)到或超過最終用戶要求的水準(zhǔn)。DoD 領(lǐng)導(dǎo)層必須通過密切合作來確定如何從財(cái)務(wù)上支持企業(yè)服務(wù)，例如，設(shè)置專門用于軟件現(xiàn)代化的周轉(zhuǎn)資金或是采用服務(wù)費(fèi)頗具競爭力的標(biāo)準(zhǔn)業(yè)務(wù)模式等。

5 統(tǒng)一實(shí)施

實(shí)施軟件現(xiàn)代化戰(zhàn)略需要DoD 各下屬部門的共同參與。具體來說，DoD 首席信息官、分管采辦與維護(hù)的DoD 副部長和分管研究與工程的DoD副部長將牽頭協(xié)調(diào)各項(xiàng)軟件現(xiàn)代化工作，根據(jù)實(shí)際的財(cái)務(wù)狀況，在“數(shù)字現(xiàn)代化基礎(chǔ)設(shè)施執(zhí)行委員會(huì)”的指導(dǎo)下組成“軟件現(xiàn)代化高級指導(dǎo)組”（ Software Modernization Senior Steering Group，SW Mod SSG），而SSG 將合理安排相關(guān)工作的優(yōu)先順序，并通過制定和落實(shí)年度行動(dòng)計(jì)劃來逐步達(dá)成各項(xiàng)目標(biāo)。SSG 還將制定用于衡量工作進(jìn)展的業(yè)績標(biāo)準(zhǔn)，并定期重新評估年度行動(dòng)計(jì)劃，以確保優(yōu)先事項(xiàng)和目標(biāo)工作仍然符合戰(zhàn)略需求。SSG 將按照本戰(zhàn)略及各種指導(dǎo)文件（例如相關(guān)的政策、參考設(shè)計(jì)和標(biāo)準(zhǔn)等）落實(shí)工作，確保將本戰(zhàn)略與JADC2、ZTA 以及電磁頻譜優(yōu)勢等其他理念相結(jié)合。最終SSG 將建立一套軟件能力組合，以此來整合各項(xiàng)工作，形成預(yù)算決策，并確保明智地使用資源。

6 結(jié) 語

軟件既是新興技術(shù)的基石，也將成為美國國防的一大特色、優(yōu)勢和關(guān)鍵資產(chǎn)。本戰(zhàn)略只是DoD 實(shí)現(xiàn)軟件現(xiàn)代化的第一步，其立足當(dāng)前的發(fā)展勢頭，依托DoD 的相關(guān)發(fā)明和成果，以“以相應(yīng)的速度提供彈性軟件能力”為愿景，確定了軟件現(xiàn)代化的總體原則，建立了共同的認(rèn)知框架，并提出了若干個(gè)初步目標(biāo)。DoD 把軟件現(xiàn)代化視為一段永無止境的旅程，為此其將在軟件領(lǐng)域不斷奮進(jìn)，以加強(qiáng)和維持美軍的作戰(zhàn)主導(dǎo)權(quán)。

（此報(bào)告翻譯方式為編譯，原文鏈接：https://media.defense.gov/2022/Feb/03/2002932833/-1/-1/1/DEPARTMENT-OF-DEFENSE-SOFTWAREMODERNIZATION-STRATEGY.PDF）