ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneดูเหมือนว่ากลุ่มอุตสาหกรรมจะสนับสนุนบันทึกช่วยจำของรัฐบาล Biden เมื่อวันที่ 14 กันยายนเกี่ยวกับการพัฒนาและการจัดหาซอฟต์แวร์ที่ปลอดภัย มันวางวิธีการโดยละเอียดสำหรับเอเจนซี่ในการรับซอฟต์แวร์ ดังนั้นในทางทฤษฎีแล้วพวกเขาจึงมั่นใจในความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์ Gordon Bitko
เป็นรองประธานอาวุโสฝ่ายนโยบายของ Information Technology Industry Council เขาเข้าร่วมFederal Drive กับ Tom Temin
จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร Tom Temin: สิ่งนี้ระบุสองสิ่งหนึ่ง การรับรองด้วยตนเอง ภายใต้เงื่อนไขบางประการโดยผู้จำหน่ายซอฟต์แวร์ และรวมถึงรายการวัสดุของซอฟต์แวร์ คุณมั่นใจว่าเอเจนซี่รู้ว่าพวกเขาไม่ได้รับใบรายการสินค้าที่นี่แทนที่จะเป็น ซอฟต์แวร์รายการวัสดุ?
กอร์ดอน บิตโก:ฉันคิดว่านั่นเป็นคำถามที่ดี เริ่มต้นด้วยเจตนาโดยรวมของคำสั่งผู้บริหาร และคำแนะนำต่อไปนี้เพิ่มเติมก็สมบูรณ์แบบ มันกล่าวถึงข้อกังวลที่แท้จริงที่ต้องได้รับการแก้ไข แต่ก็ยังมีคำถามเกี่ยวกับการใช้งานตามที่คุณบอกเป็นนัยในสิ่งที่คุณเพิ่งถามไป หน่วยงานต้องการทรัพยากรเพื่อประเมินการยืนยันตนเองหรือเอกสารการสร้างซอฟต์แวร์ และนั่นอาจเป็นสิ่งที่ท้าทายสำหรับพวกเขา ตอนนี้ยังไม่มีมาตรฐานสำหรับวิธีการทำทั้งหมด เราไม่รู้ว่าทุกหน่วยงานจะใช้วิธีเดียวกัน และนั่นอาจนำไปสู่ความสับสนและความท้าทายเพิ่มเติม แล้วฉันก็คิดว่าอีกสิ่งที่สำคัญจริงๆ ทอม คือขอบเขตของคำสั่งผู้บริหาร และสิ่งที่ NIST ให้คำนิยามต่อไปว่าเป็นซอฟต์แวร์ที่ครอบคลุมและซอฟต์แวร์ที่สำคัญนั้นมีศักยภาพมหาศาล
Tom Temin:และหนึ่งในนั้นฉันคิดว่าการวางสายอาจหมายถึง SBOM
ที่จำเป็น ทั้งนี้ขึ้นอยู่กับความสำคัญของซอฟต์แวร์ แต่บางครั้งซอฟต์แวร์ที่ไม่สำคัญอาจเป็นต้นตอของการโจมตี ดังที่เราพบในไฟล์บันทึกข้อความเก่าธรรมดาอย่าง log4j มีคนคิดหาวิธีแฮ็กสิ่งที่ไม่มีใครคิดว่าสำคัญจนกระทั่งการแฮ็กนั้นเกิดขึ้น ทาง.
Gordon Bitko:ถูกต้อง จริงๆ แล้วขึ้นอยู่กับหลายกรณี ไม่ใช่แค่ซอฟต์แวร์เท่านั้น แต่ยังรวมถึงสภาพแวดล้อมความเสี่ยงที่ซอฟต์แวร์นั้นอยู่ และวิธีการใช้งานซอฟต์แวร์ว่าเป็นช่องโหว่หรือไม่ ในบางกรณี Log4j ถูกใช้ในสถานการณ์ที่ไม่เอื้ออำนวย และในแอปพลิเคชันอื่นๆ มีการใช้ในที่ที่มีการเข้าถึงซอฟต์แวร์ที่อาจมีความสำคัญมาก หรือข้อมูลที่ละเอียดอ่อนมาก สิ่งเดียวกันนี้เป็นความจริงทั่วทั้งกระดาน และนั่นเป็นหนึ่งในความท้าทายในการหาสิ่งเหล่านี้ และรายการวัสดุซอฟต์แวร์ แม้ว่ามันจะมีประโยชน์สำหรับเรื่องแบบนั้น แต่ก็ไม่ใช่กระสุนเงินใช่ไหม มันไม่บอกคุณเพราะผู้ขายไม่รู้ว่าซอฟต์แวร์นั้นถูกใช้อยู่ที่ไหน? และสิ่งอื่น ๆ ที่หน่วยงานอาจทำอยู่แล้วหรือจำเป็นต้องทำ
ทอม เทมิน:และฉันยังสามารถเห็นบางอย่างของวงจรปิดของรถไฟที่ไม่มีวันสิ้นสุดที่นี่ เพียงเพื่อผสมคำอุปมาอุปไมยของฉัน หากคุณมีรายการวัสดุของซอฟต์แวร์ และรายการนั้นแสดงรายการโอเพ่นซอร์สหลายรายการ ซึ่งแม้แต่ผู้ขายเชิงพาณิชย์ก็ยังใช้ส่วนประกอบโอเพ่นซอร์สในซอฟต์แวร์เชิงพาณิชย์ แหล่งที่มาของโอเพ่นซอร์สจะกลายเป็นปัญหา
Gordon Bitko:เป็นเช่นนั้น และคำแนะนำในความเป็นจริงกล่าวว่าหน่วยงานสามารถนำไปใช้กับซอฟต์แวร์โอเพ่นซอร์สได้ แต่แล้วมันกลายเป็นคำถามว่าใครเป็นผู้รับผิดชอบในการปรับตัวในการใช้ซอฟต์แวร์โอเพ่นซอร์ส? และใครเป็นผู้รับผิดชอบหากพวกเขาตัดสินใจว่าต้องการให้บุคคลที่สามรับรองหรือผลิตสิ่งประดิษฐ์ และมันอาจดำเนินต่อไปเป็นวงวนไม่มีกำหนด ดังที่คุณกล่าวไว้
Tom Temin:และคุณรู้สึกหรือไม่ว่าหน่วยงานหรือองค์กรใด ๆ มีความสามารถที่จะสามารถประเมินรายการวัสดุของซอฟต์แวร์ได้ บ่อยครั้งที่คุณได้ยินว่าเปรียบได้กับส่วนผสมบนบรรจุภัณฑ์อาหาร แต่แม้แต่ Fritos และ Doritos ก็ไม่มีส่วนผสม 10,000 รายการบนฉลาก?
credit : 3daysofsyllamo.org
makedigitalworldeasy.org
thaidiary.net
flashpoetry.net
coachfactoryoutletstoreco.com
glimpsescience.net
sylvanianvillage.com
royalnepaleseembassy.org
21stcenturybackcare.com
coachfactoryonlinea.net
