ในช่วงหลายเดือนที่ผ่านมา รัฐบาลสหรัฐฯ ได้เปิดตัวข้อกำหนดใหม่หลายประการที่ส่งผลกระทบต่อองค์กรที่ขายซอฟต์แวร์ให้กับหน่วยงานของรัฐ เนื่องจากข้อกำหนดใหม่เหล่านี้มีความซับซ้อน ผู้นำจำนวนมากยังไม่แน่ใจว่าองค์กรของตนจะได้รับผลกระทบอย่างไร ในบทความนี้ ฉันจะแบ่งปันแนวคิดที่สำคัญที่สุดบางส่วนที่คุณจะต้องเข้าใจ เพื่อให้คุณสามารถปกป้องธุรกิจของรัฐบาลและปฏิบัติตามกฎระเบียบได้
ข้อกำหนดด้านความปลอดภัยของซอฟต์แวร์ใหม่: มีการเปลี่ยนแปลงอะไรบ้าง?
ในช่วงหลายปีที่ผ่านมา เหตุการณ์ด้านความปลอดภัยที่มีชื่อเสียงอย่างเช่นเหตุการณ์ที่ได้รับผลกระทบ SolarWinds และแพ็คเกจโอเพ่นซอร์ส log4j ได้เพิ่มความสนใจของรัฐบาลในเรื่องความปลอดภัยของซอฟต์แวร์ เริ่มด้วย คำสั่งผู้บริหารทำเนียบขาวที่ 14028 ในการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศในเดือนพฤษภาคม 2021 การดำเนินการหลายครั้งในช่วงสองปีที่ผ่านมาได้นำไปสู่ชุดข้อกำหนดที่ชัดเจนซึ่งส่งผลกระทบต่อซัพพลายเออร์ซอฟต์แวร์ของรัฐบาล
นับจากนี้ไป องค์กรใดๆ ที่ขายซอฟต์แวร์ให้กับรัฐบาลสหรัฐฯ จะต้องยืนยันตนเองว่าสอดคล้องกับหลักปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยซึ่งกำหนดโดยรัฐบาลใน กรอบงานการพัฒนาซอฟต์แวร์ที่ปลอดภัยของ NIST.
สิ่งสำคัญที่สุดประการหนึ่งที่ควรทำความเข้าใจก็คือ องค์กรต้องไม่เพียงแต่เป็นพยานว่าพวกเขาปฏิบัติตามหลักปฏิบัติเหล่านี้ด้วยตนเองสำหรับโค้ดซอฟต์แวร์ที่พวกเขาเขียน แต่ยังรวมถึงส่วนประกอบโอเพ่นซอร์สที่พวกเขาดึงเข้าสู่แอปพลิเคชันของตนก็ปฏิบัติตามแนวทางปฏิบัติเหล่านี้เช่นกัน
ในช่วงต้นเดือนมิถุนายน รัฐบาลได้ยืนยันข้อกำหนดเหล่านี้อีกครั้งใน บันทึกข้อตกลง OMB M-23-16 (PDF) และกำหนดเส้นตายสำหรับการปฏิบัติตามกฎระเบียบที่กำลังใกล้เข้ามาอย่างรวดเร็ว โดยมีแนวโน้มว่าจะมาถึงในไตรมาสที่สี่ของปีนี้ (สำหรับซอฟต์แวร์ที่สำคัญ) และไตรมาสแรกของปีหน้า (สำหรับซอฟต์แวร์อื่นๆ ทั้งหมด)
ซึ่งหมายความว่าในอีกไม่กี่เดือนข้างหน้า องค์กรต่างๆ จะต้องดิ้นรนเพื่อทำความเข้าใจข้อกำหนดการรับรองใหม่เหล่านี้ และพิจารณาว่าองค์กรของตนจะปฏิบัติตามอย่างไร ทั้งในเรื่องโค้ดที่พวกเขาเขียนเองและส่วนประกอบโอเพ่นซอร์สที่พวกเขานำเข้ามาสู่ผลิตภัณฑ์ซอฟต์แวร์ของตน
ตาม M-23-16 บทลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนดนั้นรุนแรง:
“หน่วยงาน [ของรัฐบาลกลาง] ต้อง ยุติการใช้ซอฟต์แวร์ หากหน่วยงานพบว่าเอกสารของผู้ผลิตซอฟต์แวร์ไม่เป็นที่พอใจ หรือหากหน่วยงานไม่สามารถยืนยันได้ว่าผู้ผลิตได้ระบุแนวทางปฏิบัติที่ไม่สามารถยืนยันได้…”
กรณีที่ท้าทายเป็นพิเศษของโอเพ่นซอร์ส
เนื่องจากองค์กรจำนวนมากกำลังเจาะลึกมากขึ้นในข้อกำหนดการรับรอง พวกเขาพบว่าการปฏิบัติตามข้อกำหนด โดยเฉพาะอย่างยิ่งเมื่อมีกำหนดเวลาที่จำกัด อาจพิสูจน์ได้ว่าเป็นเรื่องที่ท้าทาย NIST SSDF เป็นเฟรมเวิร์กที่ซับซ้อนสำหรับการรักษาความปลอดภัย และองค์กรจะต้องใช้เวลาไม่เพียงแต่ตรวจสอบให้แน่ใจว่าพวกเขาปฏิบัติตามแนวทางปฏิบัติเหล่านี้ แต่ยังบันทึกแนวทางปฏิบัติของตนโดยละเอียดอีกด้วย
แต่ที่น่ากังวลยิ่งกว่านั้นก็คือ รัฐบาลกำลังขอให้ซัพพลายเออร์ยืนยันแนวทางปฏิบัติด้านความปลอดภัยของผลิตภัณฑ์ซอฟต์แวร์ทั้งหมดของตน ซึ่งรวมถึงส่วนประกอบโอเพ่นซอร์สในซอฟต์แวร์นั้นด้วย ปัจจุบัน ซอฟต์แวร์สมัยใหม่มักประกอบด้วยส่วนประกอบโอเพ่นซอร์สเป็นส่วนใหญ่ที่นำมาต่อเข้าด้วยกัน พร้อมด้วยซอฟต์แวร์แบบกำหนดเองบางตัว ในการวิจัยของเราเราพบว่า แอปพลิเคชันมากกว่า 90% มีส่วนประกอบโอเพ่นซอร์สและในหลายกรณี โอเพ่นซอร์สคิดเป็นมากกว่า 70% ของฐานโค้ด.
องค์กรของคุณสามารถยืนยันแนวทางปฏิบัติด้านความปลอดภัยของตนเองได้ แต่คุณจะยืนยันแนวทางปฏิบัติด้านความปลอดภัยที่ตามมาโดยผู้ดูแลโอเพ่นซอร์สที่เขียนและดูแลรักษาโค้ดโอเพ่นซอร์สที่คุณใช้ในแอปพลิเคชันของคุณได้อย่างไร
นับเป็นความท้าทายครั้งใหญ่ และองค์กรต่างๆ กำลังมองหาผู้ดูแลโอเพ่นซอร์สเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับหลักปฏิบัติด้านความปลอดภัยของตน น่าเสียดายที่ผู้ดูแลโอเพ่นซอร์สเหล่านี้จำนวนมากเป็นอาสาสมัครที่ไม่ได้รับค่าจ้าง ซึ่งทำงานเกี่ยวกับโอเพ่นซอร์สเป็นงานอดิเรกในตอนกลางคืนและวันหยุดสุดสัปดาห์ ดังนั้น การขอให้พวกเขาทำงานเพิ่มเติมเพื่อตรวจสอบว่าแนวปฏิบัติด้านความปลอดภัยของตนตรงกับมาตรฐานระดับสูงที่กำหนดโดย NIST SSDF นั้นไม่สามารถทำได้จริง
วิธีหนึ่งที่องค์กรสามารถหลีกเลี่ยงความท้าทายนี้ได้คือการไม่ใช้โอเพ่นซอร์สในแอปพลิเคชันของตน และในขณะที่ดูเหมือนเป็นวิธีแก้ปัญหาง่ายๆ ที่เห็นภายนอก แต่มันก็เป็นทางเลือกที่ไม่สามารถเป็นไปได้มากขึ้นเรื่อยๆ เนื่องจากโอเพ่นซอร์สในหลาย ๆ ด้านได้กลายเป็นแพลตฟอร์มการพัฒนาที่ทันสมัยโดยพฤตินัย
วิธีที่ดีกว่าในการแก้ปัญหานี้คือเพื่อให้แน่ใจว่าผู้ดูแลแพ็คเกจที่คุณไว้วางใจนั้นได้รับค่าจ้างให้ทำงานด้านความปลอดภัยที่สำคัญนี้
สิ่งนี้อาจต้องการให้คุณทำการวิจัยเพิ่มเติมเพื่อให้แน่ใจว่าส่วนประกอบโอเพ่นซอร์สที่คุณใช้นั้นมีผู้ดูแลอยู่เบื้องหลังผู้ที่ได้รับค่าตอบแทน ไม่ว่าจะโดยผู้อุปถัมภ์ขององค์กร โดยมูลนิธิ หรือโดยความพยายามเชิงพาณิชย์ เพื่อตรวจสอบแพ็คเกจของพวกเขาว่าตรงตามมาตรฐานความปลอดภัยที่สำคัญเหล่านี้ หรือคุณสามารถติดต่อผู้ดูแลด้วยตนเองและเป็นผู้สนับสนุนงานของพวกเขาได้ เมื่อออกแบบแนวทางของคุณ โปรดทราบว่าแอปพลิเคชันสมัยใหม่ที่ไม่ซับซ้อนส่วนใหญ่มีการพึ่งพาโอเพ่นซอร์สที่แตกต่างกันหลายพันรายการ ซึ่งแต่ละรายการสร้างและดูแลโดยบุคคลหรือทีมที่แตกต่างกัน ดังนั้นความพยายามด้วยตนเองในการปรับขนาดแนวทางนี้จึงมีความสำคัญ
ก้าวไปข้างหน้าที่ท้าทายแต่จำเป็น
ข้อกำหนดเหล่านี้อาจเป็นเรื่องยากที่จะปฏิบัติตาม แต่ท่ามกลางช่องโหว่ด้านความปลอดภัยที่เพิ่มขึ้นซึ่งก่อให้เกิดอันตรายอย่างใหญ่หลวงต่อภาครัฐและเอกชน สิ่งเหล่านี้ถือเป็นก้าวสำคัญในการก้าวไปข้างหน้า รัฐบาลสหรัฐฯ เป็นผู้ซื้อสินค้าและบริการรายใหญ่ที่สุดในโลก และนั่นก็เป็นจริงสำหรับฝ่ายไอทีพอๆ กับสำหรับโดเมนอื่นๆ ด้วยการใช้กำลังซื้อเพื่อบังคับให้มีการปรับปรุงมาตรฐานความปลอดภัยโดยรวมสำหรับซอฟต์แวร์ รัฐบาลกำลังช่วยรับประกันอนาคตที่ปลอดภัยและมั่นคงยิ่งขึ้น
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 2021
- 7
- a
- เกี่ยวกับเรา
- การปฏิบัติ
- น่าสงสาร
- กับ
- หน่วยงานที่
- บริษัท ตัวแทน
- ทั้งหมด
- ตาม
- ด้วย
- ทางเลือก
- an
- และ
- ใด
- การใช้งาน
- เข้าใกล้
- ใกล้เข้ามา
- เป็น
- บทความ
- AS
- ความสนใจ
- หลีกเลี่ยง
- ฉากหลัง
- BE
- เพราะ
- กลายเป็น
- รับ
- หลัง
- กำลัง
- ดีกว่า
- ทั้งสอง
- นำมาซึ่ง
- ธุรกิจ
- แต่
- ผู้ซื้อ..
- by
- CAN
- ไม่ได้
- กรณี
- กรณี
- ท้าทาย
- ท้าทาย
- การเปลี่ยนแปลง
- ชัดเจน
- รหัส
- เชิงพาณิชย์
- ซับซ้อน
- การปฏิบัติตาม
- ปฏิบัติตาม
- ส่วนประกอบ
- แนวความคิด
- ยืนยัน
- มาก
- บรรจุ
- ไทม์ไลน์การ
- ที่สร้างขึ้น
- วิกฤติ
- ประเพณี
- cybersecurity
- การอ้างอิง
- การออกแบบ
- รายละเอียด
- กำหนด
- พัฒนาการ
- ต่าง
- การค้นพบ
- แตกต่าง
- do
- เอกสาร
- เอกสาร
- การทำ
- โดเมน
- แต่ละ
- ก่อน
- ความพยายาม
- ความพยายาม
- ทั้ง
- ทำให้มั่นใจ
- ทั้งหมด
- โดยเฉพาะอย่างยิ่ง
- แม้
- เผง
- ผู้บริหารงาน
- คำสั่งของผู้บริหาร
- พิเศษ
- ใบหน้า
- FAST
- รัฐบาลกลาง
- สองสาม
- พบ
- ชื่อจริง
- ปฏิบัติตาม
- ตาม
- สำหรับ
- บังคับ
- ข้างหน้า
- พบ
- ฐานราก
- ที่สี่
- กรอบ
- อนาคต
- GAO
- สินค้า
- รัฐบาล
- หน่วยงานภาครัฐ
- อันตราย
- มี
- การช่วยเหลือ
- จุดสูง
- ประวัติดี
- บ้าน
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ใหญ่
- i
- ระบุ
- if
- ส่งผลกระทบ
- ที่กระทบ
- สำคัญ
- การปรับปรุง
- การปรับปรุง
- in
- รวมถึง
- เพิ่มขึ้น
- ที่เพิ่มขึ้น
- ขึ้น
- เป็นรายบุคคล
- ข้อมูล
- เข้าไป
- แนะนำ
- ISN
- IT
- ITS
- jpg
- มิถุนายน
- เพียงแค่
- เก็บ
- ทราบ
- ส่วนใหญ่
- ใหญ่ที่สุด
- ชื่อสกุล
- ผู้นำ
- นำ
- กดไลก์
- น่าจะ
- ll
- ที่ต้องการหา
- ทำ
- เก็บรักษา
- ทำให้
- คู่มือ
- หลาย
- มาก
- การจับคู่
- อาจ..
- วิธี
- พบ
- บันทึก
- ใจ
- ทันสมัย
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ต้อง
- ประเทศชาติ
- จำเป็น
- จำเป็นต้อง
- ใหม่
- ถัดไป
- NIST
- of
- มักจะ
- on
- เพียง
- เปิด
- โอเพนซอร์ส
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ของเรา
- ออก
- ที่ระบุไว้
- เกิน
- ทั้งหมด
- ของตนเอง
- แพ็คเกจ
- แพคเกจ
- ต้องจ่าย
- เจ็บปวด
- อดีต
- รูปแบบไฟล์ PDF
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- อำนาจ
- ประยุกต์
- การปฏิบัติ
- ส่วนตัว
- ปัญหา
- ผู้ผลิต
- ผลิตภัณฑ์
- ผลิตภัณฑ์
- ป้องกัน
- พิสูจน์
- สาธารณะ
- การจัดซื้อ
- หนึ่งในสี่
- RE
- มาถึง
- กรุณาธิคุณ
- วางใจ
- ต้องการ
- จำเป็นต้องใช้
- ความต้องการ
- การวิจัย
- s
- ปลอดภัยมากขึ้น
- ขนาด
- ภาค
- ปลอดภัย
- ความปลอดภัย
- ขาย
- Selling
- ชุด
- บริการ
- ชุด
- หลาย
- รุนแรง
- Share
- ง่าย
- ง่ายดาย
- So
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ทางออก
- แก้
- บาง
- แหล่ง
- รหัสแหล่งที่มา
- สปอนเซอร์
- มาตรฐาน
- มาตรฐาน
- ที่เริ่มต้น
- เข้าพัก
- ขั้นตอน
- ซัพพลายเออร์
- แน่ใจ
- เอา
- ทีม
- กว่า
- ที่
- พื้นที่
- โลก
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- นี้
- ในปีนี้
- เหล่านั้น
- พัน
- เวลา
- ไปยัง
- ในวันนี้
- ร่วมกัน
- จริง
- สอง
- ไม่สามารถ
- เข้าใจ
- น่าเสียดาย
- us
- รัฐบาลเรา
- ใช้
- การใช้
- ตรวจสอบความถูกต้อง
- Ve
- อาสาสมัคร
- ช่องโหว่
- ทาง..
- วิธี
- we
- ดี
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- WHO
- จะ
- กับ
- งาน
- โลก
- เขียน
- ปี
- ปี
- ยัง
- คุณ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล