文章总结： 文档讨论了CMMC2.0在国防工业基地的实施，强调从2025年11月开始强制执行，但许多承包商准备不足，只有1%准备好审计。关键发现是缺乏漏洞管理、补丁管理等基本措施。建议将安全证据融入软件开发日常流程，使用SBOM作为动态证据，并通过DevSecOps工具实现机器速度的合规性验证，以将合规性转化为竞争优势。 综合评分： 91 文章分类： 政策法规,供应链安全,安全建设,解决方案,漏洞分析

CMMC 2.0实践：在国防工业基地全面落实安全软件实践

祺印说信安

2025年12月7日 00:01 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

多年来，美国国防部因国防工业基地（DIB）的安全漏洞而丢失敏感的受控非密信息（CUI）。敌对势力瞄准规模较小、安全防护较弱的分包商，窃取与武器和技术相关的宝贵知识产权。网络安全成熟度模型认证（CMMC）的创建旨在通过在整个国防供应链中强制执行统一的网络安全标准来阻止此类泄露事件的发生。

CMMC 2.0的强制执行计划于2025年11月10日开始，届时讨论的焦点将从“如果……会怎样”转移到“现在该做什么”。这也提醒我们一个令人不安的事实：对手的行动并不会按照我们的时间表进行。软件供应链每天都在经受考验，而国防工业基地 (DIB) 仍然是一个庞大且参差不齐的领域，涵盖了各种实践、工具和准备水平。

CMMC的认知度已达到历史新高，但实际操作准备情况仍然很低。许多承包商采取了“观望”态度。根据CyberSheath发布的《DIB现状报告》，只有约1%的承包商做好了审计准备，而且很大一部分承包商仍然缺乏漏洞管理、补丁管理和多因素身份验证等基本控制措施。报告中其他令人担忧的统计数据显示，大多数组织缺乏基本的网络安全卫生措施，漏洞管理（79%）、补丁管理（78%）和多因素身份验证（73%）的缺失，这表明认知与行动之间存在巨大差距。

意识不是问题，问题在于如何落实。

尽管CMMC 2.0是一项技术变革，但它也需要文化上的调整。它要求组织将安全证据融入软件开发的日常流程，而不是仅仅为了满足特定时间点的审计要求而匆忙完成。在当今复杂的开发环境中，仅仅依靠清单式的合规方法根本无法反映组织日常运营的实际情况。此外，在两次审计之间的这段时间里，当组织放松警惕时，正是攻击者滋生的温床。威胁不断累积，攻击者可以趁机提升权限，并在下一次审计准备工作开始之前窃取数据。CMMC 2.0，尤其是在2级和3级，力求通过使持续保障成为常态来弥补这些漏洞。

CMMC实际应用是什么样子的

SBOM通常被视为应要求才生成的文档。实际上，一旦新的依赖项添加到代码库中，静态的SBOM 就会立即过时。相反，组织应该将SBOM视为其软件供应链完整性的动态证据。它们提供精确、最新的清单，并允许您在出现新的零日漏洞时，在几分钟内查询风险敞口。

接下来，我们来考虑安全的依赖管理。大多数现代软件都是由开源和第三方组件组装而成的，这一现状不会改变。可以改变的是，这些组件在进入开发流程之前，需要经过多么严格的评估和控制。在组件使用点强制执行策略驱动的治理，可以阻止已知存在漏洞或未经批准的软件包，防止许可证问题影响生产环境，并确保只有符合组织策略的组件才能被允许使用。这种做法体现了对NIST SP 800-171（CMMC 2级认证的基础）中系统完整性和缺陷修复要求的积极遵守。

DevSecOps工具应该在日常工作中自然而然地产生可验证的证据。当CI/CD运行扫描时，扫描结果应该集中捕获。当策略阻止某个组件时，该事件应该以与构建和变更人员关联的方式记录下来。当开发人员升级库时，系统应该记录新版本、变更原因以及相关的审批流程。如果您在下次评估时选择提取报告而不是让工程师退出迭代开发，那么您就已经实现了CMMC的运维。

联邦政府向安全、透明的软件开发转型

这项推动并非孤立发生。联邦政府正在围绕软件构建和维护的共同期望进行调整。NIST SP 800-218《安全软件开发框架》为希望将安全性融入设计、编码和发布实践的团队提供了切实可行的路线图。“软件快速通道”（SWFT）计划则指向需要供应链透明度的采购途径，包括完整的软件物料清单（SBOM）、可追溯组件和持续监控。采用安全软件开发框架（SSDF）实践并按照SWFT要求进行构建的承包商，并非仅仅满足CMMC认证的要求。如果承包商等到招标要求CMMC认证时才开始合规，那么就错过了获得认证的最佳时机。而攻击者也不会坐以待毙。每拖延一天，企业都将面临更加严峻的威胁。

从手动到机器速度保证

由于现代软件开发固有的复杂性和持续变化，手动收集证据根本无法满足需求。一个应用程序可能包含数百个开源组件，每个组件每天都会推出新版本并出现新的漏洞。手动跟踪这些组件对于单个应用程序来说都极具挑战性，而对于多层供应链中的数十个项目来说，这几乎是不可能的。这种方法速度太慢、容易出错且成本太高，难以持续。

相比之下，机器速度的合规性验证可以直接在 CI/CD 流水线中实现实时合规性验证。当开发人员提交代码时，流水线会自动扫描代码及其依赖项中的漏洞，并根据预定义的安全策略进行检查，然后生成更新后的SBOM（安全业务对象手册）。如果所有检查都通过，则构建继续；否则，构建失败，开发人员会立即收到警报。这个全自动过程只需几分钟即可完成，生成每个操作的完整、可审计的记录，从而以机器速度实现持续验证。

了解CMMC 2级“改良型COTS”场景

许多供应商难以确定其商业产品或服务何时需要接受CMMC二级评估。以下示例阐明了这一转变过程。

场景：从商用无人机到国防部资产

一家美国公司成功研制出一款农业无人机。美国国防部认为，经过一些改进，这款无人机可以用于情报、监视和侦察（ISR）任务。

该公司通过以下方式获得一份合同，负责开发美国国防部专用版本：

• 增加高分辨率传感器组件
• 开发用于安全管理ISR数据的定制软件
• 改造机身以安装新的硬件

这使得该公司成为可能需要CMMC 2级认证的约 35% 的 DIB供应商之一。

二级适用性

该公司不再销售纯粹的商业产品（CMMC 1级）。通过为美国国防部进行定制，该公司现在创建和处理受控非密信息（CUI），例如：

• 受控技术信息：更新后的原理图、蓝图和 3D模型
• 软件源代码：自定义ISR任务代码
• 性能和测试数据：飞行测试结果、航程和传感器数据
• 国防部专用手册：操作和维护指南

由于员工现在可以创建、访问和存储此CUI，因此公司必须遵守NIST SP 800-171中的110项安全控制措施，这是CMMC 2级的基础。

CMMC 2.0为企业提供了将合规性转化为竞争优势的机会

随着11月10日的临近，DIB（国防工业基地）的赢家将是那些将合规性融入卓越工程设计，并在不影响交付速度的前提下展现出充分准备的企业。他们将以更小的干扰应对新的指令，因为他们的工厂已经能够输出这些指令所需的数据。而且，无论在日常运营还是危机应对方面，他们都将成为更优秀的合作伙伴。