กองทัพกำลังสำรวจวิธีใช้ข้อกำหนด Software Bills of Material ในสัญญา ซึ่งอาจทำให้แผนกทหารเป็นผู้นำขององค์กรรัฐบาลกลางที่ต้องการใช้ “SBOM” เพื่อรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ของตนในการขอข้อมูลเมื่อวันที่ 21 ต.ค. กองอำนวยการจัดหาของกองทัพบกกำลังขอความคิดเห็นเกี่ยวกับ “วิธีที่มีประสิทธิภาพ คล่องตัว และสร้างสรรค์” เพื่อปรับปรุงความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ โดยเฉพาะอย่างยิ่งผ่านการใช้ SBOM
“ซอฟต์แวร์ที่เน้นการรักษาความปลอดภัยที่มีประสิทธิภาพ
มีความสำคัญต่อการเปิดใช้งานขีดความสามารถของกองทัพบกในอนาคตเพื่อครอบงำความขัดแย้งในอนาคต” RFI กล่าว “อย่างไรก็ตาม ส่วนประกอบที่ไม่รู้จักอาจทำให้ระบบทำงานในรูปแบบที่ไม่คาดคิด และสร้างความเสี่ยงให้ถูกโจมตีได้เมื่อส่วนประกอบมีช่องโหว่”
ข้อมูลเชิงลึกโดย LinkedIn: ด้วยภูมิทัศน์ทางเศรษฐกิจที่เปลี่ยนแปลงตลอดเวลา องค์กรของรัฐจะแข่งขันเพื่อผู้สมัครที่มีคุณสมบัติเหมาะสมที่สุดได้อย่างไร พวกเขาจะรักษาพนักงานที่ดีที่สุดไว้ได้นานขึ้นได้อย่างไร? เราพูดคุยกับผู้นำฝ่ายทรัพยากรบุคคลจาก CISA, Delaware, PNNL, Tennessee และ LinkedIn
กองทัพบกกำลังมองหาข้อมูลเกี่ยวกับการรวบรวมและทบทวน SBOM รวมถึง “การสแกนที่เกี่ยวข้องและข้อมูลการจัดการความเสี่ยงด้านห่วงโซ่อุปทาน (SCRM) อื่นๆ” RFI ขอความคิดเห็นเกี่ยวกับปัญหาต่างๆ รวมถึงภาษาสัญญาตัวอย่างที่ต้องใช้ SBOM เป็นหลักในสัญญาที่เกี่ยวข้องกับซอฟต์แวร์
“การตอบสนองจาก RFI นี้จะถูกนำมาใช้เพื่อกำหนดแนวปฏิบัติของกองทัพในวงกว้างสำหรับการได้มาซึ่งโซลูชันซอฟต์แวร์” รายงานระบุ การตอบกลับการแจ้งเตือนมีกำหนดในวันที่ 10 พฤศจิกายน
‘มันจะเกิดขึ้น’
SBOM ได้กลายเป็นเครื่องมือสำคัญอย่างหนึ่งในการช่วยให้รัฐบาลและอุตสาหกรรมเข้าใจได้ดีขึ้นและรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ที่ซับซ้อน National Telecommunications and Information Administration ซึ่งนำความพยายามในการพัฒนาและกำหนดแนวคิด SBOM อธิบายว่าเป็น “สินค้าคงคลังของส่วนประกอบซอฟต์แวร์และการพึ่งพาที่เป็นทางการ เครื่องสามารถอ่านได้ ข้อมูลเกี่ยวกับส่วนประกอบเหล่านั้น และความสัมพันธ์ตามลำดับชั้น”
คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคม 2564
ของประธานาธิบดีโจ ไบเดน ยังกำหนดทิศทางการใช้ SBOM ซึ่งเป็นส่วนหนึ่งของมาตรฐานซอฟต์แวร์ที่ปลอดภัย
“ผู้พัฒนาและผู้จำหน่ายซอฟต์แวร์มักจะสร้างผลิตภัณฑ์โดยการประกอบโอเพ่นซอร์สและคอมโพเนนต์ซอฟต์แวร์เชิงพาณิชย์ที่มีอยู่” คำสั่งระบุ “SBOM ระบุส่วนประกอบเหล่านี้ในผลิตภัณฑ์ เทียบได้กับรายการส่วนผสมบนบรรจุภัณฑ์อาหาร”
อย่างไรก็ตาม SBOMs ยังคงเป็นแนวคิดส่วนใหญ่เมื่อพูดถึงการจัดซื้อจัดจ้างของรัฐบาลกลาง คำแนะนำด้านความปลอดภัยของซอฟต์แวร์ซัพพลายเชน ใหม่จากทำเนียบขาวสนับสนุน แต่ไม่ต้องการให้หน่วยงานใช้รายการ
กลุ่มการค้า เทคโนโลยีได้ผลักดันให้ฝ่ายนิติบัญญัติเลิกใช้ภาษาในกฎหมายกลาโหมประจำปีซึ่งกำหนดให้กระทรวงความมั่นคงแห่งมาตุภูมิใช้ SBOM องค์กรที่ได้รับการสนับสนุนจากภาคอุตสาหกรรมโต้แย้งว่ายังเร็วเกินไปที่หน่วยงานต่างๆ จะต้องการ SBOM เนื่องจากขาดมาตรฐานเกี่ยวกับแนวคิดนี้
แต่กองทัพดูเหมือนจะรั้นในรายการส่วนผสมของซอฟต์แวร์“กองทัพบกจะมุ่งสู่ SBOMs ก่อน” Young Bang รองผู้ช่วยเลขาธิการกองทัพบกฝ่ายจัดซื้อ โลจิสติกส์ และเทคโนโลยี กล่าวระหว่างการอภิปรายเมื่อวันที่ 11 ต.ค. ที่การประชุมประจำปีของสมาคมกองทัพบกสหรัฐฯ ในกรุงวอชิงตัน
“พวกคุณบางคนอาจมีความกังวลเกี่ยวกับเรื่องนี้ — เยี่ยมมาก” บังกล่าวเสริม “เราต้องการฟังข้อกังวลเหล่านั้น มาพูดคุยกับเราเกี่ยวกับเรื่องนี้โดยเฉพาะ แต่มันกำลังจะเกิดขึ้น เรากำลังจะทำ และกองทัพบกจะเป็นหน่วยงานแรกที่จะดำเนินการอย่างถูกต้อง”
Jennifer Swanson รองผู้ช่วยเลขาธิการกองทัพบกด้านวิศวกรรมข้อมูลและซอฟต์แวร์กล่าวว่าบริการนี้ต้องการการมองเห็นที่ดีกว่าในการพึ่งพาซอฟต์แวร์
“และเราไม่ได้บอกว่าโอเพ่นซอร์สไม่ดี แต่เรากำลังบอกว่าเราต้องเข้าใจว่าจีนมีส่วนในโค้ดนั้นหรือไม่” สเวนสันกล่าวระหว่าง AUSA “รหัสนั้นมาจากไหนเมื่อเราซื้อ [Commercial Off-the-Shelf] เป็นต้น รหัสนั้นได้รับการพัฒนาที่ใด มีการเอาต์ซอร์ซไปยังประเทศต่างๆ ที่เราอาจไม่ต้องการให้อยู่ในรหัสของเราหรือไม่”
Swanson กล่าวว่า ในที่สุดกองทัพต้องการใช้เครื่องมือในการสแกนซอฟต์แวร์ใดๆ เพื่อหาช่องโหว่ที่สำคัญ โดยไม่คำนึงว่าซอฟต์แวร์นั้นจะได้รับการพัฒนาในเชิงพาณิชย์หรือเพื่อการใช้งานของรัฐบาลโดยเฉพาะ
Credit : เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์
