文章总结： 洛马软件工厂核心在于持续交付作战能力而非仅提效。其将DevSecOps作为平台固化的强约束门禁，而非单纯工具堆砌。通过将环境与流水线标准化为可复用产品降低启动成本，运用云原生与GitOps保障跨环境可控与可审计。该体系延伸至系统互操作与人员培训，形成技术流程与人员一体的闭环。建议企业借鉴其以平台固化安全规则与标准化基座的做法。 综合评分： 81 文章分类： 安全建设,解决方案,安全运营,安全开发,云安全

对于洛克希德·马丁的软件工厂落地的个人解读

AI与代码安全

2026年4月6日 13:45 北京

以下文章来源于软件研发之DevOps ，作者余仁

软件研发之DevOps .

在研发过程中，我们怎么做才能真正的提高效能，从而从一个成本中心逐步转变成与业务一起发展的价值中心，为此，该号将会从敏捷、DevOps实践等维度出发，阐述我自己的心得体会，共同学习提高。

最近在整理软件工厂/DevSecOps相关内容时，也陆续看了一些洛克希德·马丁公开的资料。整体看下来，对他们软件工厂的落地方式有了一些初步认识。

这篇文章算是基于这些公开资料做的一点整理和理解，更多是个人视角下的归纳总结。由于信息来源有限，理解上难免存在偏差，不当之处也欢迎大家一起讨论、指正。

一、他们做软件工厂，不是为了提效，而是为了“持续产出作战能力”

从公开资料来看，洛马对软件工厂的定位其实挺明确的：软件正在成为任务成功的重要因素，而软件工厂的目标，并不是简单交付软件，而是持续交付“任务能力”。

换句话说，他们关注的不是“版本发布”，而是能力本身的演进，比如感知能力、决策能力、系统协同能力等。这种情况下，软件就不再是配角，而是直接影响整体作战效果的核心。

所以可以理解为，他们做软件工厂，并不只是为了研发提效，而是为了回答一个更现实的问题：如何让能力可以持续、稳定地被生产出来。软件工厂，本质上是这个问题的工程化解法，这也完全符合DevOps的价值交付的理念。

二、DevSecOps在他们那里，是一套“强约束”的流程机制

很多团队也在做DevSecOps，但在实践中，往往只是增加了一些安全扫描工具。对比来看，洛马的做法更偏“流程内嵌”。

从公开资料来看，他们强调安全嵌入软件生命周期的每一个阶段，并通过自动化流水线进行统一执行。

在这种模式下，结合DevSecOps的一般实现方式，可以理解为：安全检查很可能是作为流水线的“门禁条件”存在的，也就是说，不通过检查就无法进入下一阶段。

更关键的一点在于，这些能力是通过平台统一提供的，而不是由团队自行决定是否执行。

从这个角度看，DevSecOps在他们那里，更像是一种被平台固化下来的工程规则，而不仅仅是理念。

三、他们把开发环境和流水线做成了“标准产品”

在很多组织里，研发效率问题往往出在基础层：环境不统一、工具不一致、流程各自为政。洛马在这一点上的处理方式，是把这些能力全部标准化。

公开资料提到，他们可以在几天内启动一个新项目。从实践上看，这背后依赖的是：开发环境是预先准备好的，工具链是统一的，CI/CD流水线也是模板化的。

也就是说，新项目不需要再从零搭建一套环境和流程，而是直接复用已有能力。

这样做带来的效果比较直接：一方面降低了项目启动成本，另一方面也减少了不同团队之间的差异。整体来看，更像是把研发流程本身“平台化”了。

四、云原生和GitOps，本质是在解决“可控性”和“可迁移性”

在技术层面，洛马的软件工厂采用了容器、Kubernetes、微服务这些典型的云原生技术。但从他们的应用场景来看，这些技术更多是为了解决实际问题，而不是单纯追求先进性。

一个很现实的背景是，他们的软件需要运行在多种环境中，比如机载系统、地面系统、甚至云环境。这种情况下，如果软件和环境强绑定，维护成本会非常高。

所以通过容器化和微服务，把软件和底层环境解耦，从而实现更好的迁移能力。

另外，他们也强调GitOps和基础设施即代码（IaC）。这部分更多是为了满足可追溯和可审计的要求：所有配置都在Git中管理，所有变更都有记录，系统状态可以随时恢复。

整体看下来，这一整套技术组合，核心目标其实很一致：让系统始终处在一个可控、可恢复的状态。

五、软件工厂的延伸：从开发软件，到连接系统

在CJADC2相关实践中，洛马提出了“互操作工厂”（Interoperability Factory）这一概念。从这个阶段开始，软件工厂的作用已经不只是支撑开发，而是开始承担系统整合的角色。

现实问题是，不同武器系统之间往往存在接口不统一、数据不互通的情况。通过标准接口、协议转换以及数据融合能力，可以在一定程度上打通这些系统。

与此同时，他们的CI/CD体系也服务于这一目标。测试不只是功能验证，还包括仿真验证，发布过程也更加谨慎，需要保证可控和可回退。

另外一个比较有意思的点是，他们还建立了Software Dojo，用来持续训练工程师的DevSecOps能力。从这个角度看，软件工厂不仅是平台建设问题，也和工程能力建设密切相关。

结合这些公开信息来看，洛克希德·马丁的软件工厂，更像是一套比较完整的工程体系，而不仅仅是一个平台。

这里面既包括技术（如DevSecOps、云原生），也包括流程（标准化流水线），还包括人员能力（工程训练体系）。这些因素是一起作用的，而不是单点突破。

如果简单总结一句，大概可以这样理解：它的目标，是把“能力交付”这件事，变成一件可以持续运转的工程活动。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI与代码安全 《对于洛克希德·马丁的软件工厂落地的个人解读》