ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับข้อมูลเสียงสัมภาษณ์ประจำวันของ Federal Drive ทาง Apple Podcast หรือ PodcastOneบันทึกช่วยจำฉบับที่ห้าและสุดท้ายจากสำนักงานการจัดการและงบประมาณเพื่อให้บรรลุเป้าหมายที่ระบุไว้ในคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคม 2564 อาจเป็นเรื่องที่ท้าทายที่สุดOMB กำลังเริ่มต้นการเปลี่ยนแปลงวิธีการที่หน่วยงานซื้อและผู้ขายพัฒนาซอฟต์แวร์เชิงพาณิชย์ซึ่งอาจเป็นตัวกำหนดทิศทางสำหรับหลายทศวรรษข้างหน้า
Chris DeRusha หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล
ของรัฐบาลกลางใน OMB กล่าวว่าบันทึกนี้เป็นมากกว่าคำสั่งทางไซเบอร์ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOpsChris DeRusha เป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลาง
“เราต้องการให้ทุกคนนำแนวทางการพัฒนาที่ปลอดภัยมาใช้อย่างแท้จริง ไม่ใช่เพื่อการยอมรับ แต่เนื่องจากการรักษาความปลอดภัยเป็นตัวขับเคลื่อนอนาคตของเราในอนาคตของทุกสิ่งที่เป็นดิจิทัล หากเราไม่สร้างซอฟต์แวร์ที่ปลอดภัย ก็จะไม่สามารถทำในสิ่งที่เราต้องการได้ นั่นคือประเด็นทั้งหมด” DeRusha กล่าวในการสัมภาษณ์พิเศษกับ Federal News Network “เราแค่ต้องการให้แน่ใจว่าผู้คนกำลังคิดเกี่ยวกับสิ่งนี้ นั่นคือสิ่งที่พวกเขาต้องการและจำเป็น และเป็นสิ่งที่ดีสำหรับพวกเขา ไม่ใช่ข้อกำหนดการปฏิบัติตามข้อกำหนดใหม่ สิ่งนั้นจะไม่มีคุณค่าหรือประโยชน์ใดๆ และฉันคิดว่าเพียงแค่มีความคิดที่ถูกต้องและสละเวลา หากคุณเข้าใจสิ่งนั้นแล้วและดำเนินชีวิตตามหลักการนั้น เพื่อช่วยแบ่งปันสิ่งนั้นกับคนอื่นๆ ในองค์กรของคุณ อย่ามองว่าเป็นสิ่งใหม่และเป็นภาระ”
นี่เป็นส่วนหนึ่งของเหตุผลที่ OMB ตัดสินใจที่จะละเว้น “คลาน เดิน และวิ่ง” ทั่วไป เพื่อเปิดตัวข้อกำหนดด้านความปลอดภัยของซอฟต์แวร์
DeRusha กล่าวว่าแนวทางของรัฐบาลกลางในการรับรอง
ว่าซอฟต์แวร์มีความปลอดภัยนั้นเพิ่งเริ่มต้นในหลาย ๆ ด้านนี่เป็นส่วนหนึ่งของเหตุผลที่สมาคมอุตสาหกรรมสี่แห่งกำลังผลักดันร่างกฎหมายการอนุญาตการป้องกันปีงบประมาณ 2023 ฉบับสภา ซึ่งรวมถึงบทบัญญัติที่กำหนดให้กระทรวงความมั่นคงแห่งมาตุภูมิต้องการคำแนะนำเกี่ยวกับปัญหาสำหรับสัญญาใหม่และปัจจุบันทั้งหมดที่ต้องการผู้ขาย จัดทำ “รายการวัสดุที่ใช้สำหรับสัญญาดังกล่าว เมื่อเจ้าหน้าที่ร้องขอ; และการรับรองและการแจ้งเตือน” ที่ส่งรายการวัสดุนั้นปราศจากช่องโหว่หรือข้อบกพร่องที่ทราบทั้งหมดที่ส่งผลกระทบต่อความปลอดภัยของผลิตภัณฑ์หรือบริการขั้นสุดท้าย โดยเฉพาะอย่างยิ่งที่อยู่ในฐานข้อมูลช่องโหว่ที่ดำเนินการโดย National Institute of Standards and Technology และ Cybersecurity and Infrastructure Security หน่วยงาน.
คำแนะนำของ NIST ยังใหม่สำหรับหลายๆ คน
DeRusha กล่าวว่า แนวทางห่วงโซ่อุปทานซอฟต์แวร์ของ NIST ตั้งแต่เดือนกุมภาพันธ์เป็นรากฐานที่มั่นคงซึ่งบันทึกช่วยจำของ OMB สร้างขึ้น แต่สำหรับหลายหน่วยงานที่ดูแลและทำความเข้าใจวิธีซื้อซอฟต์แวร์ที่ปลอดภัยนั้นยังอยู่ในช่วงเริ่มต้น
นี่เป็นเหตุผลสำคัญที่ OMB ตัดสินใจกำหนดให้บริษัทซอฟต์แวร์ต้องยืนยันตนเองว่าตรงตามข้อกำหนดในคำแนะนำของ NIST
“ฉันคิดว่านี่เป็นวิธีที่ถูกต้องในการเริ่มต้นกับสิ่งใหม่อย่าง Secure Software Development Framework เนื่องจากทุกคนกำลังเรียนรู้สัญญาณเทคโนโลยีเกี่ยวกับสิ่งนั้น ในขณะที่ผู้คนกำลังเรียนรู้วิธีการประเมินจากบุคคลที่สามที่ดีเกี่ยวกับแนวทางปฏิบัติเหล่านั้นทั้งหมด มีแนวปฏิบัติใหม่บางประการในนั้น อีกครั้งที่กล่าวถึงรายการซอฟต์แวร์หนึ่งรายการ (SBOM) และอยู่ในกรอบนี้” DeRusha กล่าว “อย่างที่เราทราบกันดีว่านี่เป็นสิ่งที่ยังเติบโตเต็มที่และกำลังก่อร่างสร้างตัว ดังนั้นคุณจะประเมินได้อย่างไรว่าอะไรดี? นั่นเป็นคำถามที่ได้รับคำตอบในขณะที่เราไป ดังนั้นด้วยวิธีการที่เติบโตเต็มที่ระหว่างเอเจนซี่ ความพร้อมในการรับรองว่ามีการปฏิบัติตามข้อกำหนดเหล่านี้จึงเป็นสิ่งที่เราต้องการให้แน่ใจว่าเรากำลังเรียนรู้บทเรียนทั้งหมดเมื่อเราได้รับ”
DeRusha ยอมรับอย่างง่ายดายว่าข้อกำหนดในการรับรองด้วยตนเองมีความเสี่ยง เขากล่าวว่าสิ่งที่ยิ่งใหญ่อย่างหนึ่งคือการสร้างความคิดในการปฏิบัติตามข้อกำหนดระหว่างหน่วยงานและผู้ขาย
credit: pescalluneslanparty.com
sfery.org
planesyplanetas.com
vosoriginesyourroots.com
citadelindustry.com
tomklaasen.net
tglsys.net
nezavisniprostor.net
greensys2013.org
northpto.org
