2022年1月谢尔曼软件开发和开源软件备忘录.pdf

2022年1月谢尔曼软件开发和开源软件备忘录--第1页

2022年1月谢尔曼软件开发和开源软件备忘录

2022年1月26日，美国国防部(DoD)新任首席信息官(CIO)约

翰·B·谢尔曼(JohnB.Sherman)向整个部门发布了一份题为“软件

开发和开源软件”的备忘录。在这份备忘录中，CIO解决了两个主要

问题：1)使用开源软件(OSS)会给DoD软件程序带来供应链风险，以

及2)通过开源渠道共享DoD代码而不进行适当检查会导致DoD专有

信息的潜在泄露对手。在阐述如何正确解决这两个问题时，CIO将OSS

归类为一个独特的位置，OSS基金会和项目维护者可以利用该位置为

他们的重要贡献获得资金。

国防部的开源软件

与其他大型组织一样，美国国防部在其软件工具链的几乎每个部

分都是OSS的用户。从Firefox访问互联网，Kubernetes编排内部

数据中心和公共云上的容器，curl发出HTTP请求，PyTorch创建和

运行机器学习模型，国防部使用OSS的例子不胜枚举。除了作为这些

软件和工具链的第一方用户之外，DoD还每天使用OSS作为从承包商

那里获得的第三方软件的组件。

除了作为OSS的消费者之外，DoD还是OSS的生产者，例如DARPA

CyberGrandChallenge使用的实用程序、为国防创新部门的xView

系列奖项挑战创建的机器学习模型，甚至是DoD的OSS网站本身。考

虑到根据DoD合同开源的存储库，该组织向公共领域贡献了大量软件。

缺乏OSS资金

2022年1月谢尔曼软件开发和开源软件备忘录--第1页

2022年1月谢尔曼软件开发和开源软件备忘录--第2页

尽管DoD使用并创建了很多开源软件，但它很少为OSS计划本身

提供资金。除了DARPA资助开源机器人基金会以支持和开发他们的项

目等罕见的例子外，国防部的资金并没有流向支持关键开源技术的进

一步发展。在我看来，有两个原因：

OSS项目不适合传统的采购框架，因此国防部很难将合同授予没

有责任实体的项目。

更固执己见，但没有钱，国防部没有动力为其免费获得的服务付

费。根据我的经验，政府计划将免费的东西视为理所当然，而商业产

品，即使很糟糕，也会得到更多的关注和兴趣。

融资机会

在CIO的备忘录中，OSS软件被提升到软件收购的最前沿。

该部门必须遵循“采用、购买、创建”的软件方法，在购买专有

产品之前优先采用现有的政府或OSS解决方案，并且只有在没有现成

的解决方案足够时才创建新的非商业软件。

这本身就是令人难以置信的消息。国防部项目经理(PM)现在必须

评估形势并验证现有的OSS解决方案是否无法解决他们的问题，然后

才能启动可能浪费纳税人资金的新项目。在OSS解决方案不能100%

满足PM程序需求的情况下怎么办？在这种情况下，必须建立一个合

同机制来获取、开发和维护这种新的开发。为此，首席信息官表示

OSS符合“商业计算机软件”的定义，因此，根据USC标题10

第2377节，应与专有商业产品同等考虑。

2022年1月谢尔曼软件开发和开源软件备忘录--第2页

2022年1月谢尔曼软件开发和开源软件备忘录--第3页

通过确保OSS解决方案被视为商业软件，DoDPM应将OSS视为

商业产品的合法竞争对手。借助其他交易授权(OTA)等收购机制，其

要求比国防部创新组织（如国防创新部门和各种作战司令部）采用