编者按
美国陆军计划改变以前完全基于硬件报告战备情况的状况,将软件也纳入部队的关键战备指标。陆军拟于2022年发布命令,要求各部队报告其软件战备情况。陆军通信电子司令部(CECOM)软件工程中心(SEC)正在与陆军G-3/5/7合作定义软件战备指标,例如运行经批准的软件版本以及在发布后30天内安装最新软件。
陆军计划更新当前所用的2020年10月创建的软件存储库,并于2022年春季推出的“软件存储库2.0”。“软件存储库2.0”不仅可让部队在世界任何地方下载软件,还能让陆军对部队下载软件情况进行准确监督,包括哪支部队何时下载了何种软件。此举将使陆军能够“变被动为主动”,更深入地了解部队软件战备状况,防范过时软件被对手利用或导致系统无法正常工作等情况。该软件存储库目前正在从国防信息系统局(DISA)迁移到陆军云,SEC正在与陆军首席信息官合作以构建新存储库。
奇安网情局编译有关情况,供读者参考。
美国陆军正准备将软件纳为部队的关键战备指标。过去,部队主要基于硬件报告其战备水平时,而对软件的考虑为零。
陆军通信电子司令部(CECOM)软件工程中心(SEC)主任詹妮弗·斯旺森表示,“战备状态就像,‘嘿,我有零件吗?我有备品和所有硬件吗?’但是,如果软件无法运行,做好战备了吗?可能不是。这不是衡量的一部分。”
软件工程中心(SEC)与陆军G-3/5/7合作定义软件战备指标,例如运行经批准的软件版本以及在发布后30天内安装最新软件。因此,G-3/5/7去年发布了执行命令并进行了试点,以测试其软件战备报告。最终命令预计将在2022财年发布,将要求各单位报告其软件战备情况。
詹妮弗·斯旺森称,“如果未能更新软件,那么就需要报告为‘不具备任务能力’。”
事实证明,软件作为威胁载体具有巨大的战略和战术重要性。过时软件可能会被对手利用或导致系统无法正常工作,有些软件补丁非常关键需要立即下载。
詹妮弗·斯旺森以SolarWinds黑客事件为例进行说明,美国政府将该事件归咎于俄罗斯外国情报机构。她称,“我们有SolarWinds......它的美妙之处在于SolarWinds,我们有软件存储库可用,我们能够在周五晚上发布这些东西,然后观察单位立即开始将其撤下,在此之前不会出现这种情况。”
陆军计划更新其软件存储库,以便知道哪些部队下载了哪些软件补丁,以及何时下载。该软件存储库是一个于2020年10月创建的门户网站,可让部队在世界任何地方下载更新——就像商用手机一样。以前,陆军必须将硬盘邮寄给部队才能进行更新。这意味着更新可能无法及时到达,从而产生某些漏洞。
虽然当前版本的软件存储库允许进行某种程度的监督,以查看哪些部队正在下载更新,但官员们无法看到哪些部队在下载哪些软件。预计明年春季推出的软件存储库2.0可以对部队下载软件情况进行准确监督。
这种类型的能力在SolarWinds事件中被证明很重要。詹妮弗·斯旺森表示,“以SolarWinds为例,电子表格通过电子邮件发送到整个机密互联网协议路由网络(SIPRNet)……试图找出这里的部队列表,这支部队拿到它,这支部加载它。软件存储库2.0可以让你不必做所有这些事情。你就会知道谁打了补丁。”
软件存储库2.0还让陆军能够更深入地了解部队软件战备情况。未更新到最新版本的部队可能存在问题。詹妮弗·斯旺森称,也许部队碰到了连接问题,或者只是忽略了更新。但是拥有这种级别的精确性可以让陆军联系这些部队,看看可能存在什么问题。这使陆军能够变被动为主动。
该软件存储库目前正在从托管它的国防信息系统局(DISA)迁移到陆军云。詹妮弗·斯旺森称,软件工程中心(SEC)正在与陆军首席信息官及其DevSecOps工具集合作,以构建更新的存储库。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。