5 Essential Questions for Implementing the Software Acquisition Pathway and the Tools to Tackle Them SEI通过研究和工具支持国防部采用现代软件工程方法（如Agile和DevSecOps），推动软件采购改革。其开发的"软件采购Go Bag"工具包提供指导和支持，帮助项目团队成功实施《软件采购路径》（SWP），以加速软件交付并满足快速变化的任务需求。... 2025-9-23 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu software swp acquisition bag development

5 Essential Questions for Implementing the Software Acquisition Pathway and the Tools to Tackle Them SEI通过研究和工具支持国防部采用现代软件工程方法（如Agile和DevSecOps），推动软件获取改革。其开发的Software Acquisition Pathway（SWP）政策鼓励迭代开发、自动化工具和用户参与，以加速软件交付。为帮助实施SWP，SEI推出了"Software Acquisition Go Bag"工具包，包含战术指南和资源，助力项目团队成功执行现代软件获取实践。... 2025-9-22 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu software swp acquisition bag development

A Call to Action: Building a Foundation for Model-Based Systems Engineering in Digital Engineering 本文探讨了模型化系统工程（MBSE）在数字工程转型中的应用与挑战，重点分析了SysMLv2迁移、人工智能应用及政策标准等问题，并提出了未来发展方向。... 2025-9-15 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu mbse workshop processes dod

A Call to Action: Building a Foundation for Model-Based Systems Engineering in Digital Engineering 文章探讨了数字工程转型对工程组织中利益相关者沟通管理的影响，并强调模型化系统工程（MBSE）作为关键方法。通过2024年11月的研讨会，聚焦于MBSE与数字工程的未来方向，涉及SysMLv2、人工智能、政策和培训等主题，并提出具体行动建议以推动实践发展。... 2025-9-15 04:0:0 | 阅读: 9 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu mbse workshop dod processes

My AI System Works…But Is It Safe to Use? 文章探讨了人工智能（AI）在软件开发中的潜力及其带来的安全与可靠性挑战。通过系统理论过程分析（STPA），一种用于识别复杂系统中不安全交互的方法，研究人员能够更好地定义AI系统的安全目标、设计控制结构以防止危险状态，并制定全面的风险缓解策略和测试方案。这种方法帮助确保AI系统的安全性与可靠性，特别是在面对日益复杂的任务时。... 2025-9-9 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu stpa llm security software hazards

My AI System Works…But Is It Safe to Use? 文章探讨了AI在软件开发中的潜力及其带来的新风险，并介绍了System Theoretic Process Analysis (STPA)作为评估和缓解AI系统安全与可靠性问题的有效方法。通过分析复杂系统的交互与控制结构，STPA帮助识别潜在危害并提供全面的安全设计与测试策略。... 2025-9-9 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu stpa llm security software hazards

7 Recommendations to Improve SBOM Quality 文章探讨了软件物料清单（SBOM）在供应链风险管理中的重要性，并分析了不同SBOM工具生成结果不一致的问题。通过SEI的SBOM Harmonization Plugfest项目，研究团队评估了243份SBOM样本，提出了七项建议以提高SBOM的一致性和准确性。... 2025-8-25 04:0:0 | 阅读: 4 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu sboms software analysis supplier

7 Recommendations to Improve SBOM Quality 本文讨论了软件物料清单（SBOM）在提升软件透明度和安全性中的作用，并介绍了美国陆军和国防部对SBOM的要求。文章还概述了SEI的2024年SBOM Harmonization Plugfest项目，旨在解决SBOM不一致的问题，并提出了七项改进建议以提高SBOM质量。... 2025-8-25 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu sboms software analysis supplier

Artificial Intelligence in National Security: Acquisition and Integration 文章探讨了将人工智能（AI）整合到国防和国家安全中的挑战与解决方案。参与者分享了如何选择合适的AI工具以满足任务需求，并讨论了从数据准备到持续监督的关键考虑因素。文章强调了测试、透明度和责任的重要性，并提出了未来的建议，包括优化软件采购路径和推进AI工程学科的发展。... 2025-8-5 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu acquisition mission workshop security

Artificial Intelligence in National Security: Acquisition and Integration 文章探讨了国防和国家安全组织在整合人工智能（AI）过程中面临的挑战与解决方案。通过SEI举办的AI采购研讨会，参与者分享了如何选择合适工具以满足任务需求的经验与困惑，并强调了测试、透明度、数据质量及人类监督的重要性。文章还提出了未来推动AI在国家安全中成功应用的建议。... 2025-8-5 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu acquisition mission workshop security software

Managing Security and Resilience Risks Across the Lifecycle 文章探讨了软件在现代关键任务系统中的核心作用及其带来的安全与弹性风险。通过分析软件缺陷和漏洞在整个生命周期中的影响，强调了早期风险管理的重要性。提出了安全工程框架（SEF），该框架分为工程管理、工程活动和工程基础设施三个领域，提供了一套全面的方法来管理和减轻这些风险。... 2025-7-23 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu security resilience software sef lifecycle

Managing Security and Resilience Risks Across the Lifecycle 文章讨论了软件在关键任务系统中的重要性及其安全与韧性风险的管理。提出了安全工程框架（SEF），用于在整个系统生命周期中管理软件依赖系统的安全与韧性风险。SEF分为三个领域：工程管理、工程活动和工程基础设施，并包含13个目标和119个实践，帮助组织在开发和运营中构建安全与韧性的能力。... 2025-7-23 04:0:0 | 阅读: 9 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu security resilience software sef lifecycle

A Practitioner-Focused DevSecOps Assessment Approach 文章探讨了DevSecOps在企业中的成功要素及常见挑战，如缺乏明确所有权、功能孤岛及工具不足等问题。通过沉浸式体验、观察、访谈及基准测试等多维度评估方法，结合定量与定性数据，帮助企业识别改进点并提升软件开发效率与安全性。... 2025-7-14 04:0:0 | 阅读: 2 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu processes software development qualitative pim

A Practitioner-Focused DevSecOps Assessment Approach 文章探讨了DevSecOps在企业中的成功要素及评估方法。通过沉浸式体验、观察、参与和基准测试等多维度评估，结合定量与定性数据，帮助企业识别改进点并提升软件交付速度与质量。强调以实践者视角发现问题，并借助行业基准（如DORA报告）和参考架构（如PIM模型）实现持续优化。... 2025-7-14 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu processes software development qualitative pim

Amplifying AI Readiness in the DoD Workforce 国防部通过与SEI合作开发DACWR框架及SkillsGrowth平台，解决AI人才识别难题。该框架细化技能等级，并设计四种评估测试，帮助发现非传统学习路径培养的合格人才。... 2025-6-23 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu assessments proficiency talent rubric

Amplifying AI Readiness in the DoD Workforce 文章探讨了国防部在数据与人工智能领域人才准备的挑战，并介绍了SEI与空军合作开发的解决方案。通过创建数据/AI网络劳动力评估标准（DACWR）、四个评估工具（如技术技能和建模仿真）及SkillsGrowth平台，帮助识别隐藏人才并提升团队能力。... 2025-6-23 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu assessments proficiency talent workforce

Radio Frequency 101: Can You Really Hack a Radio Signal? 文章探讨了射频（RF）技术的基本原理及其在军事和民用领域的广泛应用，包括通信、导航和雷达系统。同时分析了常见的射频攻击类型及其对关键基础设施的潜在威胁，并讨论了如何通过技术手段加强无线通信的安全性。... 2025-6-16 04:0:0 | 阅读: 1 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu signals replay spectrum network gps

Radio Frequency 101: Can You Really Hack a Radio Signal? 文章介绍了无线电频率（RF）技术的基本原理及其在通信、军事等领域的广泛应用，并探讨了常见的安全威胁如窃听、重放和中继攻击等，最后提出了防范措施以确保无线通信的安全性。... 2025-6-16 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu signals replay network spectrum modulation

Out of Distribution Detection: Knowing When AI Doesn't Know 文章探讨了人工智能系统在面对超出其训练范围的情况时的可靠性问题，强调了“出分布检测”（Out-of-Distribution Detection）的重要性。通过具体案例说明AI系统在处理未训练场景时可能产生的错误，并提出三种主要方法来解决这一问题：数据驱动技术、模型内置检测和现有模型增强。文章还指出，在国防应用中需考虑资源限制、数据不足及对抗威胁等因素，并建议采用分层方法来提升AI系统的可信度和鲁棒性。... 2025-6-9 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu ood trained probability approaches assumptions

Out of Distribution Detection: Knowing When AI Doesn't Know 文章探讨了人工智能系统在面对未训练过的数据时可能产生的问题，并强调了分布外（OoD）检测的重要性。通过军事和医疗等实际案例，展示了AI在未知环境中的潜在风险。文章还介绍了三种主要的OoD检测方法，并讨论了其在国防应用中的挑战和未来发展方向。... 2025-6-9 04:0:0 | 阅读: 0 | 收藏 | SEI Blog | CERT/CC Vulnerabilities - www.sei.cmu.edu ood trained probability approaches assumptions