หน่วยงานของรัฐกำลังดำเนินการเพื่อนำ SBOM มาใช้เพื่อปรับปรุงการจัดการความเสี่ยงของห่วงโซ่อุปทาน

หน่วยงานของรัฐกำลังดำเนินการเพื่อนำ SBOM มาใช้เพื่อปรับปรุงการจัดการความเสี่ยงของห่วงโซ่อุปทาน

Software Bill of Material (SBOM) กำลังได้รับความสนใจอย่างมากในฐานะเครื่องมือที่จะช่วยให้หน่วยงานรัฐบาลกลางปรับปรุงการจัดการความเสี่ยงด้านซัพพลายเชน แม้ว่าจะมีความเห็นไม่ตรงกันว่าเมื่อใดที่หน่วยงานต่างๆ จะเริ่มได้รับประโยชน์จากพวกเขา แต่ปัจจุบันหลายหน่วยงานกำลังวางรากฐานเพื่อเริ่มใช้ SBOM ตัวอย่างเช่น กระทรวงการต่างประเทศกำลังจัดตั้งคณะทำงานเพื่อพัฒนาคำแนะนำและขั้นตอนวิธีการจับภาพและจัดเก็บ

“เรายังไปไม่ถึง” Zetra Batiste หัวหน้าเจ้าหน้าที่

รักษาความปลอดภัยข้อมูลองค์กรสำหรับการจัดการความเสี่ยงห่วงโซ่อุปทานด้านความปลอดภัยทางไซเบอร์ (C- SCRM ) จากสำนักการจัดการทรัพยากรสารสนเทศของกระทรวงการต่างประเทศกล่าวใน Federal Monthly Insights – Supply Chain Risk Management “อย่างไรก็ตาม เราตระหนักถึงความจำเป็นในการทำงานร่วมกันอย่างต่อเนื่องกับผู้มีส่วนได้ส่วนเสียในภาคอุตสาหกรรมและรัฐบาล เพื่อให้แน่ใจว่าเรากำลังประสานความพยายามของรัฐบาลกลางในการทำให้เป็นอัตโนมัติและสร้างที่เก็บข้อมูลของ SBOM เพื่อการแลกเปลี่ยนซึ่งกันและกัน”

มักถูกอธิบายว่าเป็นรายการส่วนผสมของซอฟต์แวร์ SBOM สร้างความโปร่งใสโดยให้รายละเอียดส่วนประกอบต่างๆ ในซอฟต์แวร์หนึ่งชิ้น และการพึ่งพาต่างๆ ระหว่างส่วนประกอบเหล่านั้น

Batiste กล่าวว่าปัจจุบันมีความท้าทายหลายประการในการใช้ SBOM ที่จำเป็นต้องแก้ไข สิ่งหนึ่งคือต้องสร้างโดยอัตโนมัติและเครื่องสามารถอ่านได้ การพัฒนากระบวนการและรูปแบบนั้นไม่ใช่เรื่องง่าย นอกจากนี้ ยังขาดการฝึกอบรมและความรู้เกี่ยวกับวิธีการทำงานของ SBOM เนื่องจากเป็นแนวคิดที่ค่อนข้างใหม่

และเมื่อใช้งานแล้ว ทีมพัฒนาซอฟต์แวร์ต้องหยุดการทำงานทุกครั้งที่ SBOM เปิดเผยช่องโหว่ และบรรเทาช่องโหว่ดังกล่าว นั่นต้องใช้เวลา และบางครั้งช่องโหว่เหล่านั้นก็กลายเป็นผลบวกลวง นั่นเป็นเหตุผลที่ Batiste กล่าวว่าทีม C-SCRM กำลังทำงานเพื่อหาวิธีแก้ปัญหาในการรับ SBOMs

จนกว่าจะเป็นเช่นนั้น หน่วยงานต้องทำงานด้วยการรับรองตนเอง

 Batiste กล่าวว่ารัฐกำลังมองหาตัวเลือกสำหรับเครื่องมือของบุคคลที่สามเพื่อตรวจสอบความถูกต้องของการรับรองด้วยตนเองเหล่านั้น แต่ก็ต้องใช้เวลาเช่นกัน

“หากไม่มีเครื่องมือ ก็ยากที่จะตรวจสอบได้นอกเหนือจากการรับรองด้วยตนเอง” เธอกล่าวในFederal Drive กับ Tom Temin “แต่ฉันคิดว่ามันเริ่มต้นด้วยการสร้างความสัมพันธ์กับนักพัฒนา เพื่อให้คุณเข้าใจ คุณกำลังสร้างความผูกพัน ความสัมพันธ์นั้น เพื่อให้คุณเข้าใจผู้ขายบุคคลที่สามของเขา ฯลฯ และคุณใช้กระบวนการต่างๆ เช่นกัน เช่น การประเมินเพื่อ ตรวจสอบความถูกต้องตามที่กำหนด ที่คุณสามารถทำได้”

ในขณะเดียวกัน Batiste กล่าวว่ารัฐกำลังดำเนินการตรวจสอบซอฟต์แวร์อย่างต่อเนื่องเพื่อหาช่องโหว่ ทีมของเธอได้สร้างกระบวนการประเมินความเสี่ยง รวมถึงการตรวจสอบความสัมพันธ์ในต่างประเทศของผู้ขายและภัยคุกคามที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานที่ซอฟต์แวร์อาจก่อขึ้น จากจุดนั้น พวกเขาตัดสินใจว่าจะพยายามลดความเสี่ยงนั้นหรือเพียงแค่หลีกเลี่ยงการใช้ซอฟต์แวร์นั้นไปเลย

อีกสิ่งหนึ่งที่รัฐกำลังให้ความสำคัญคือการร่วมมือกับ Cybersecurity and Infrastructure Security Agency และคณะทำงานด้านความปลอดภัยทางไซเบอร์เพื่อส่งเสริมการแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามและความเปราะบาง กลุ่มเหล่านี้ยังทำงานร่วมกันเพื่อก้าวข้ามอุปสรรคในการยอมรับ SBOM

Batiste กล่าวว่า “ช่องโหว่ที่กระทบต่อเราทุกคนในท้ายที่สุด “ยิ่งเราเรียนรู้มากเท่าไหร่ เราก็ยิ่งสามารถปกป้องโครงสร้างพื้นฐานของเราร่วมกันได้ดีขึ้นเท่านั้น”

Credit : เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์