通过GitLab政府专用版实现CMMC 2级合规

对于国防工业基地（DIB）公司而言，美国国防部发布的《网络安全成熟度模型认证（CMMC）最终规则》和关于“FedRAMP等效性”的新指南显著提高了合规成本，并从根本上改变了其风险管理计划的实施方式。安全计划“自我认证”的时代已经结束；DIB公司需要在其处理受控非密信息（CUI）的环境中严格应用NIST 800-171标准，并每三年由第三方评估组织（3PAO）对其安全控制进行审计。

DIB公司以工程为核心，而非合规驱动，正式审计会迅速推高成本。这些变化给专注于支持作战人员的公司带来了重大复杂性。好消息是？GitLab政府专用版的FedRAMP中等授权意味着DIB公司可以直接使用GitLab政府专用版，无需额外审计或授权，从而降低合规的影响和成本。

基础规则：FedRAMP中等等效性

DIB内部受控非密信息（CUI）的保护基于基础法律和合同授权：《国防联邦采购条例补充》（DFARS）条款252.204-7012。该条款明确规定，如果承包商使用外部云服务提供商“存储、处理或传输任何受保护的国防信息”，则该提供商必须满足“与政府为FedRAMP中等基线设立的安全要求等效”的安全要求。

国防部2024年1月2日的备忘录《云服务提供商云服务产品的联邦风险与授权管理计划中等等效性》定义了“FedRAMP中等等效性”，并直接规定可以使用FedRAMP中等云服务产品（CSO）来满足等效性要求，无需任何额外评估，例如单独的CMMC评估：

“本备忘录不适用于根据现有FedRAMP流程获得FedRAMP中等授权的CSO。在FedRAMP市场中标识的FedRAMP中等授权CSO，根据《国防联邦采购条例补充》条款252.204-7012‘保护受保护的国防信息和网络事件报告’，提供了存储、处理或传输CDI所需的安全性，无需进一步评估即可用于满足等效性要求。”

GitLab平台：经过验证的合规路径

GitLab的GovCloud产品，即GitLab政府专用版，已获得FedRAMP中等授权。这意味着DIB公司可以立即将GitLab政府专用版用作其DevSecOps平台，无需任何额外审计或合规检查。使用GitLab政府专用版的DIB公司继承了我们的所有安全控制和证据体系，将合规的风险和成本从自身转移出去，使他们能够专注于其任务。

共享责任矩阵：您作为DIB承包商的责任

虽然FedRAMP授权的解决方案显著减轻了您的合规负担，但合规是一项共同努力。您负责属于您职责范围内的安全控制。这就是共享责任矩阵（SRM），也称为客户责任矩阵（CRM）的作用。

当您采用GitLab政府专用版时，您将收到一份全面的SRM，明确划分了哪些安全控制由GitLab管理，哪些是您作为客户的责任。您的CMMC C3PAO将使用此文件来确保您已在自己这边实施了必要的控制措施。通过利用GitLab的FedRAMP授权平台，您可以自信地满足CMMC 2级合规要求，专注于您的任务，同时相信GitLab已为您提供保障。

要了解更多关于GitLab政府专用版的信息，请访问我们的GitLab公共部门页面。有兴趣进行演示吗？请联系销售部门sales-pubsec@gitlab.com获取更多信息。

参考资料

• CMMC“最终规则”DFARS补充
• DOD-CIO“FedRAMP中等等效性”备忘录
• GitLab政府专用版FedRAMP市场列表