7 Recommendations to Improve SBOM Quality 本文讨论了软件物料清单（SBOM）在提升软件透明度和安全性中的作用，并介绍了美国陆军和国防部对SBOM的要求。文章还概述了SEI的2024年SBOM Harmonization Plugfest项目，旨在解决SBOM不一致的问题，并提出了七项改进建议以提高SBOM质量。... 2025-8-25 04:0:0 | 阅读: 3 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu sboms software analysis supplier

Artificial Intelligence in National Security: Acquisition and Integration 文章探讨了将人工智能（AI）整合到国防和国家安全中的挑战与解决方案。参与者分享了如何选择合适的AI工具以满足任务需求，并讨论了从数据准备到持续监督的关键考虑因素。文章强调了测试、透明度和责任的重要性，并提出了未来的建议，包括优化软件采购路径和推进AI工程学科的发展。... 2025-8-5 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu acquisition mission workshop security

Artificial Intelligence in National Security: Acquisition and Integration 文章探讨了国防和国家安全组织在整合人工智能（AI）过程中面临的挑战与解决方案。通过SEI举办的AI采购研讨会，参与者分享了如何选择合适工具以满足任务需求的经验与困惑，并强调了测试、透明度、数据质量及人类监督的重要性。文章还提出了未来推动AI在国家安全中成功应用的建议。... 2025-8-5 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu acquisition mission workshop security software

Managing Security and Resilience Risks Across the Lifecycle 文章探讨了软件在现代关键任务系统中的核心作用及其带来的安全与弹性风险。通过分析软件缺陷和漏洞在整个生命周期中的影响，强调了早期风险管理的重要性。提出了安全工程框架（SEF），该框架分为工程管理、工程活动和工程基础设施三个领域，提供了一套全面的方法来管理和减轻这些风险。... 2025-7-23 04:0:0 | 阅读: 3 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu security resilience software sef lifecycle

Managing Security and Resilience Risks Across the Lifecycle 文章讨论了软件在关键任务系统中的重要性及其安全与韧性风险的管理。提出了安全工程框架（SEF），用于在整个系统生命周期中管理软件依赖系统的安全与韧性风险。SEF分为三个领域：工程管理、工程活动和工程基础设施，并包含13个目标和119个实践，帮助组织在开发和运营中构建安全与韧性的能力。... 2025-7-23 04:0:0 | 阅读: 12 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu security resilience software sef lifecycle

A Practitioner-Focused DevSecOps Assessment Approach 文章探讨了DevSecOps在企业中的成功要素及常见挑战，如缺乏明确所有权、功能孤岛及工具不足等问题。通过沉浸式体验、观察、访谈及基准测试等多维度评估方法，结合定量与定性数据，帮助企业识别改进点并提升软件开发效率与安全性。... 2025-7-14 04:0:0 | 阅读: 5 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu processes software development qualitative pim

A Practitioner-Focused DevSecOps Assessment Approach 文章探讨了DevSecOps在企业中的成功要素及评估方法。通过沉浸式体验、观察、参与和基准测试等多维度评估，结合定量与定性数据，帮助企业识别改进点并提升软件交付速度与质量。强调以实践者视角发现问题，并借助行业基准（如DORA报告）和参考架构（如PIM模型）实现持续优化。... 2025-7-14 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu processes software development qualitative pim

Amplifying AI Readiness in the DoD Workforce 国防部通过与SEI合作开发DACWR框架及SkillsGrowth平台，解决AI人才识别难题。该框架细化技能等级，并设计四种评估测试，帮助发现非传统学习路径培养的合格人才。... 2025-6-23 04:0:0 | 阅读: 1 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu assessments proficiency talent rubric

Amplifying AI Readiness in the DoD Workforce 文章探讨了国防部在数据与人工智能领域人才准备的挑战，并介绍了SEI与空军合作开发的解决方案。通过创建数据/AI网络劳动力评估标准（DACWR）、四个评估工具（如技术技能和建模仿真）及SkillsGrowth平台，帮助识别隐藏人才并提升团队能力。... 2025-6-23 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu assessments proficiency talent workforce

Radio Frequency 101: Can You Really Hack a Radio Signal? 文章探讨了射频（RF）技术的基本原理及其在军事和民用领域的广泛应用，包括通信、导航和雷达系统。同时分析了常见的射频攻击类型及其对关键基础设施的潜在威胁，并讨论了如何通过技术手段加强无线通信的安全性。... 2025-6-16 04:0:0 | 阅读: 3 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu signals replay spectrum network gps

Radio Frequency 101: Can You Really Hack a Radio Signal? 文章介绍了无线电频率（RF）技术的基本原理及其在通信、军事等领域的广泛应用，并探讨了常见的安全威胁如窃听、重放和中继攻击等，最后提出了防范措施以确保无线通信的安全性。... 2025-6-16 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu signals replay network spectrum modulation

Out of Distribution Detection: Knowing When AI Doesn't Know 文章探讨了人工智能系统在面对超出其训练范围的情况时的可靠性问题，强调了“出分布检测”（Out-of-Distribution Detection）的重要性。通过具体案例说明AI系统在处理未训练场景时可能产生的错误，并提出三种主要方法来解决这一问题：数据驱动技术、模型内置检测和现有模型增强。文章还指出，在国防应用中需考虑资源限制、数据不足及对抗威胁等因素，并建议采用分层方法来提升AI系统的可信度和鲁棒性。... 2025-6-9 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu ood trained probability approaches assumptions

Out of Distribution Detection: Knowing When AI Doesn't Know 文章探讨了人工智能系统在面对未训练过的数据时可能产生的问题，并强调了分布外（OoD）检测的重要性。通过军事和医疗等实际案例，展示了AI在未知环境中的潜在风险。文章还介绍了三种主要的OoD检测方法，并讨论了其在国防应用中的挑战和未来发展方向。... 2025-6-9 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu ood trained probability approaches assumptions

Delivering Resilient Software Capability to the Warfighter at the Speed of Relevance 文章介绍了SEI如何通过软件获取路径（SWP）加速国防部软件能力的开发与部署，强调了现代软件工程实践、DevSecOps、网络安全和AI技术的重要性，并展示了SEI在工具开发、风险管理和系统保障方面的贡献。... 2025-6-2 04:0:0 | 阅读: 3 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu software sei dod development security

Delivering Resilient Software Capability to the Warfighter at the Speed of Relevance 美国国防部采用软件获取路径（SWP）加速软件能力开发与部署。SEI推动现代软件工程实践，如DevSecOps，并支持AI系统安全。文章概述了SEI在技术债务管理、工具开发及风险分析方面的贡献，并强调其在帮助国防部实现软件现代化中的持续努力。... 2025-6-2 04:0:0 | 阅读: 1 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu software sei dod development security

A 5-Stage Process for Automated Testing and Delivery of Complex Software Systems 文章介绍了一种自动化软件交付的方法，利用CI/CD管道和容器化技术来管理第三方代码更新，解决了安全漏洞和依赖问题，提高了部署效率和系统稳定性。... 2025-5-21 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu software stage security automating development

A 5-Stage Process for Automated Testing and Delivery of Complex Software Systems 文章探讨了通过自动化工具和CI/CD管道管理复杂软件部署的方法，重点在于提高安全性、效率和系统稳定性。... 2025-5-21 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu software security stage automating development

Stop Imagining Threats, Start Mitigating Them: A Practical Guide to Threat Modeling 文章讨论了威胁建模在构建软件密集型系统中的重要性，介绍了如何通过分析攻击者目标、手段和动机来识别潜在威胁，并结合STRIDE分类法和CAPEC攻击模式等方法制定缓解策略。早期进行威胁建模有助于降低风险和成本。... 2025-5-15 04:0:0 | 阅读: 3 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu modeling capec stride threats abstraction

Stop Imagining Threats, Start Mitigating Them: A Practical Guide to Threat Modeling 本文探讨了威胁建模在构建软件密集型系统中的重要性，通过识别潜在攻击者及其目标、时间和方式来指导系统设计和安全措施。使用STRIDE方法分类威胁影响，并结合CAPEC的标准攻击模式库来增加可信度。早期应用可降低成本并提高系统的安全性。... 2025-5-15 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu modeling capec stride threats abstraction

10 Things Organizations Should Know About AI Workforce Development 美国白宫鼓励联邦机构优先发展人工智能（AI）技术人才，并提出10项建议以提升AI workforce能力。包括沉浸式培训、明确角色与任务、制定治理政策等。国防部也强调了AI人才培养的重要性，并通过与SEI合作推动相关工作。... 2025-4-28 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu workforce development mission dod talent