Pentágono Anuncia Revisão Abrangente na Aquisição de Software para Agilidade e Segurança
O Pentágono e a Aquisição de Software: Uma Nova Era de Agilidade e Segurança
O Departamento de Defesa dos Estados Unidos (DoD) anunciou planos para uma reforma significativa em seus sistemas de aquisição de software, considerados desatualizados. A iniciativa visa aumentar a segurança e a visibilidade da cadeia de suprimentos em um cenário de crescentes vulnerabilidades cibernéticas. A Diretora de Informações (CIO) do DoD, Katie Arrington, introduziu a iniciativa "Software Fast Track" (SWFT) com o objetivo de modernizar a aquisição, autorização e teste de software dentro do departamento.
Em um memorando recente, Arrington detalhou que o framework SWFT definirá requisitos "claros" e "específicos" de cibersegurança e Gerenciamento de Risco da Cadeia de Suprimentos (SCRM). Além disso, estabelecerá processos rigorosos de verificação de segurança de software, mecanismos seguros de compartilhamento de informações e determinações de risco lideradas pelo governo federal para acelerar as autorizações de cibersegurança, permitindo uma adoção mais rápida de software. Estima-se que o framework e o plano de implementação do SWFT sejam desenvolvidos dentro de 90 dias. Esta medida busca alinhar o DoD com as melhores práticas para obter, desenvolver e implementar software seguro, respondendo ao compromisso do Secretário de Defesa, Pete Hegseth, de transformar a forma como o Departamento lida com o software que sustenta a capacidade de combate da força conjunta dos EUA.
Desafios Atuais na Aquisição de Software pelo DoD
Os processos atuais de aquisição de software do Pentágono foram desenvolvidos para um ambiente tecnológico diferente e são considerados lentos e ultrapassados, com pouca ou nenhuma visibilidade da cadeia de suprimentos. Processos de autorização de cibersegurança longos e desatualizados dificultam a entrega ágil e contínua de software. A CIO Arrington também destacou que o uso generalizado de software de código aberto, com contribuições de desenvolvedores de todo o mundo, representa um "desafio significativo e contínuo", principalmente pela falta de visibilidade sobre as origens e a segurança do código. Vulnerabilidades de software são um dos pontos de entrada mais explorados por invasores, e incidentes envolvendo malware e vazamentos por parceiros já expuseram fragilidades nos sistemas do DoD.
Relatórios do Government Accountability Office (GAO), o órgão de fiscalização do governo dos EUA, têm consistentemente apontado para desafios na modernização da aquisição de software pelo DoD. Em 2020, o DoD estabeleceu seis "caminhos de aquisição" (acquisition pathways), incluindo um específico para software, com o objetivo de entregar software funcional aos usuários em menos de um ano e adicionar capacidades iterativamente com base nas necessidades dos usuários. Essa abordagem ágil contrasta com o modelo tradicional em cascata (waterfall), que poderia levar mais de uma década para entregar software, implicando em maiores riscos. No entanto, o GAO observou que os processos de requisitos usados por programas de armamento que desenvolvem software em outros caminhos de aquisição geralmente não incorporam princípios ágeis, arriscando o desenvolvimento de capacidades que podem não refletir as necessidades dinâmicas dos usuários ou as ameaças emergentes. Além disso, o DoD ainda não emitiu políticas ou orientações correspondentes para programas de armamento que utilizam desenvolvimento ágil de software em outros caminhos, o que pode comprometer a supervisão eficaz das capacidades de software entregues iterativamente.
A Iniciativa Software Fast Track (SWFT) e o Futuro da Aquisição
A iniciativa SWFT surge como uma resposta a esses desafios, buscando modernizar fundamentalmente a abordagem do DoD para adquirir, testar e autorizar software seguro. O DoD está atualmente buscando informações da indústria (RFIs) para embasar diversos aspectos da iniciativa, como o melhor uso de Inteligência Artificial para autorizar software seguro e a definição de requisitos eficazes de SCRM. A SWFT também estabelecerá como o DoD verificará a segurança de produtos de software, protegerá sistemas de compartilhamento de informações e agilizará o processo de autorização para adoção de software.
A modernização da aquisição de software no DoD também passa pela adoção de práticas como DevOps e DevSecOps (Desenvolvimento, Segurança e Operações). O DevSecOps, em particular, é uma abordagem que integra a segurança em todas as fases do ciclo de vida do desenvolvimento de software, buscando entregar software resiliente na velocidade da relevância. Essa abordagem já é amplamente adotada pela indústria comercial e tem sido implementada com sucesso em diversos projetos piloto do DoD. A estratégia DevSecOps do DoD visa educar e fornecer melhores práticas para a implementação dessa cultura, reconhecendo a necessidade de repensar as práticas de desenvolvimento de software e aproveitar as abordagens do setor comercial.
O Papel do FedRAMP e da "Software Pathway"
O FedRAMP (Federal Risk and Authorization Management Program) desempenha um papel crucial nesse ecossistema, fornecendo uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem para o governo dos EUA. A conformidade com o FedRAMP é obrigatória para provedores de serviços em nuvem que atendem agências federais. A Ordem Executiva 14028 sobre o Melhoramento da Cibersegurança Nacional, emitida pelo Presidente Biden em 2021, reforçou a importância do FedRAMP e da segurança da cadeia de suprimentos de software.
A "Software Pathway" é uma das vias de aquisição estabelecidas pelo DoD, projetada para facilitar a entrega rápida e iterativa de capacidades de software por meio de práticas modernas de desenvolvimento e engajamento ativo do usuário. O objetivo é implantar capacidades em operação em seis meses ou menos, com foco na entrega contínua. Essa via enfatiza o DevSecOps e a autorização contínua para operar (cATO), integrando o Gerenciamento de Riscos (RMF) de forma ágil.
Apesar dos esforços de modernização, persistem desafios, como a necessidade de desenvolver profissionais de aquisição com conhecimento em software e a adaptação da cultura organizacional para abraçar plenamente as metodologias ágeis. A transição para uma aquisição de software mais ágil e segura é um processo contínuo e complexo, mas essencial para que o DoD mantenha sua vantagem tecnológica e operacional em um ambiente de ameaças em constante evolução.
