如何像软件工厂一样思考

在当今瞬息万变的战场环境中，美军无法承受干扰。技术发展必须确保减少因不良软件而发生的不良事件。

任务成果在此领域至关重要，因此按照新出现的全球和国内威胁的步伐构建、学习和部署软件也至关重要。

当今的作战人员需要可靠、安全的软件，就像它所支持的武器系统一样精确、有效。

软件现代化是必要的，但国防部内部运作的团队还必须熟悉采购流程，包括各种操作、测试和网络安全要求。

其中许多都是基于过时的政策，旨在赢得我们在遗留系统上的最后一场战争。

其结果是，应对过去教训的能力有限，主动开发解决方案以避免未来中断的能力也下降。 

“秘密”在于通过在高度纪律的软件工厂中持续应用风险管理框架来获得持续的运营授权。

RMF 通过记录控制措施的艰苦工作来建立透明度和信任。政策很明确，没有漏洞，没有魔法。

同样，软件工厂不仅仅是一个平台、管道或技术堆栈，更重要的是，它是为特定任务创造价值并消除软件生产中的浪费所需的集体人员、流程和技术。

尽早、持续地交付软件对于在美国军方争夺技术主导地位的竞赛中保持领先地位至关重要。

当前的收购过程侧重于过去开发的功能，这些功能现在才有资格获得资助，并且不太可能解决我们当前的问题。

真正的成功在于不断地将软件交付到生产中。没有这个，敏捷就没有体现出来，我们就一无所有。我们输了。 

拥抱变革，同时降低风险

显然，旧的方法无法解决当今的大问题，否则毫无疑问，国防是否能够或将会在技术主导地位的竞争中取得成功。

问题在于厌恶变革而不是厌恶风险。这并不意味着人们或程序应该接受更多的风险，他们不应该，特别是在任何有关网络安全的讨论中。

虽然网络安全或信息安全中的许多事情可能会出现问题，但有些已知的事情很适合检查清单。如果存在风险或漏洞，则不应部署到生产环境。  

然而，还有很多改变的机会。不要让一个失败的项目永久化，而是建立一个在产品管理、产品开发和产品设计方面拥有平衡团队的软件工厂。

取消现有合同的资金，以软件工厂的形式购买软件交付能力，并要求失败的程序与那些持续将软件交付生产的程序相比，为生存而战。 

精益和以用户为中心的设计的一个重要部分是它可以减少代码和代码蔓延。这减少了需要维护和评估的代码量，并减少了攻击面。平衡的团队意味着更干净、更好、更安全的代码。

此外，持续监控是持续授权的关键，因为它提供了近乎实时的威胁图片。团队必须建立并执行抽查和渗透测试，以识别和解决风险，然后（建议）每季度正式记录更新。  

成功实施这些变革方法和实践的例子在国防部软件工厂中随处可见，例如空军生命周期管理中心数字理事会下属的 Kessel Run 部门；太空指挥与控制计划；以及陆军未来司令部内的陆军软件工厂等。

陆军最近还分享了过渡到反映商业实践的软件升级流程的计划，其中软件团队编写应用程序、进行改进并发布定期更新。

官僚机构内变革推动者和创新者的坚持是现在和未来成功的关键。   

归根结底，技术主导地位取决于结果，不是连续的 ATO，不是平台，甚至不是人员或流程。

如果我们无法将结果交付生产，那么这一切都无关紧要。