Software Bill of Material (SBOM) กำลังได้รับความสนใจอย่างมากในฐานะเครื่องมือที่จะช่วยให้หน่วยงานรัฐบาลกลางปรับปรุงการจัดการความเสี่ยงด้านซัพพลายเชน แม้ว่าจะมีความเห็นไม่ตรงกันว่าเมื่อใดที่หน่วยงานต่างๆ จะเริ่มได้รับประโยชน์จากพวกเขา แต่ปัจจุบันหลายหน่วยงานกำลังวางรากฐานเพื่อเริ่มใช้ SBOM ตัวอย่างเช่น กระทรวงการต่างประเทศกำลังจัดตั้งคณะทำงานเพื่อพัฒนาคำแนะนำและขั้นตอนวิธีการจับภาพและจัดเก็บ
“เรายังไปไม่ถึง” Zetra Batiste หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย
ข้อมูลองค์กรสำหรับการจัดการความเสี่ยงห่วงโซ่อุปทานด้านความปลอดภัยทางไซเบอร์ (C- SCRM ) จากสำนักการจัดการทรัพยากรสารสนเทศของกระทรวงการต่างประเทศกล่าวใน Federal Monthly Insights – Supply Chain Risk Management “อย่างไรก็ตาม เราตระหนักถึงความจำเป็นในการทำงานร่วมกันอย่างต่อเนื่องกับผู้มีส่วนได้ส่วนเสียในภาคอุตสาหกรรมและรัฐบาล เพื่อให้แน่ใจว่าเรากำลังประสานความพยายามของรัฐบาลกลางในการทำให้เป็นอัตโนมัติและสร้างที่เก็บข้อมูลของ SBOM เพื่อการแลกเปลี่ยนซึ่งกันและกัน”
มักถูกอธิบายว่าเป็นรายการส่วนผสมของซอฟต์แวร์ SBOM สร้างความโปร่งใสโดยให้รายละเอียดส่วนประกอบต่างๆ ในซอฟต์แวร์หนึ่งชิ้น และการพึ่งพาต่างๆ ระหว่างส่วนประกอบเหล่านั้น
Batiste กล่าวว่าปัจจุบันมีความท้าทายหลายประการในการใช้ SBOM ที่จำเป็นต้องแก้ไข สิ่งหนึ่งคือต้องสร้างโดยอัตโนมัติและเครื่องสามารถอ่านได้ การพัฒนากระบวนการและรูปแบบนั้นไม่ใช่เรื่องง่าย นอกจากนี้ ยังขาดการฝึกอบรมและความรู้เกี่ยวกับวิธีการทำงานของ SBOM เนื่องจากเป็นแนวคิดที่ค่อนข้างใหม่
และเมื่อใช้งานแล้ว ทีมพัฒนาซอฟต์แวร์ต้องหยุดการทำงานทุกครั้งที่ SBOM เปิดเผยช่องโหว่ และบรรเทาช่องโหว่ดังกล่าว นั่นต้องใช้เวลา และบางครั้งช่องโหว่เหล่านั้นก็กลายเป็นผลบวกลวง นั่นเป็นเหตุผลที่ Batiste กล่าวว่าทีม C-SCRM กำลังทำงานเพื่อหาวิธีแก้ปัญหาในการรับ SBOMs
จนกว่าจะเป็นเช่นนั้น หน่วยงานต้องทำงานด้วยการรับรองตนเอง Batiste กล่าวว่ารัฐกำลังมองหาตัวเลือกสำหรับเครื่องมือของบุคคลที่สามเพื่อตรวจสอบความถูกต้องของการรับรองด้วยตนเองเหล่านั้น แต่ก็ต้องใช้เวลาเช่นกัน
“หากไม่มีเครื่องมือ ก็ยากที่จะตรวจสอบได้นอก
เหนือจากการรับรองด้วยตนเอง” เธอกล่าวในFederal Drive กับ Tom Temin “แต่ฉันคิดว่ามันเริ่มต้นด้วยการสร้างความสัมพันธ์กับนักพัฒนา เพื่อให้คุณเข้าใจ คุณกำลังสร้างความผูกพัน ความสัมพันธ์นั้น เพื่อให้คุณเข้าใจผู้ขายบุคคลที่สามของเขา ฯลฯ และคุณใช้กระบวนการต่างๆ เช่นกัน เช่น การประเมินเพื่อ ตรวจสอบความถูกต้องตามที่กำหนด ที่คุณสามารถทำได้”
ในขณะเดียวกัน Batiste กล่าวว่ารัฐกำลังดำเนินการตรวจสอบซอฟต์แวร์อย่างต่อเนื่องเพื่อหาช่องโหว่ ทีมของเธอได้สร้างกระบวนการประเมินความเสี่ยง รวมถึงการตรวจสอบความสัมพันธ์ในต่างประเทศของผู้ขายและภัยคุกคามที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานที่ซอฟต์แวร์อาจก่อขึ้น จากจุดนั้น พวกเขาตัดสินใจว่าจะพยายามลดความเสี่ยงนั้นหรือเพียงแค่หลีกเลี่ยงการใช้ซอฟต์แวร์นั้นไปเลย
อีกสิ่งหนึ่งที่รัฐกำลังให้ความสำคัญคือการร่วมมือกับ Cybersecurity and Infrastructure Security Agency และคณะทำงานด้านความปลอดภัยทางไซเบอร์เพื่อส่งเสริมการแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามและความเปราะบาง กลุ่มเหล่านี้ยังทำงานร่วมกันเพื่อก้าวข้ามอุปสรรคในการยอมรับ SBOM
Batiste กล่าวว่า “ช่องโหว่ที่กระทบต่อเราทุกคนในท้ายที่สุด “ยิ่งเราเรียนรู้มากเท่าไหร่ เราก็ยิ่งสามารถปกป้องโครงสร้างพื้นฐานของเราร่วมกันได้ดีขึ้นเท่านั้น”
บราวน์กล่าวว่า Data Lake House จะช่วยให้ส่วนต่าง ๆ ของหน่วยงานใช้ข้อมูลแบบเรียลไทม์เพื่อขับเคลื่อนการตัดสินใจ
“พวกเขาทำการวิเคราะห์ของพวกเขาเอง ระบบข่าวกรองธุรกิจ ซึ่งต่างกับเมื่อก่อนที่มันแตกต่างกันมาก หลอกลวงมาก และข้อมูลก็เคลื่อนย้ายไปทั่ว” เขากล่าว “ตอนนี้ มันเกือบจะเหมือนกับการให้บริการคลาวด์อื่นสำหรับพนักงานของเราทุกคน เรากำลังทำให้ข้อมูลทั้งหมดเป็นประชาธิปไตยด้วยความปลอดภัยที่เหมาะสมและความปลอดภัยที่เหมาะสม”
USCIS จะใช้การควบคุมการเข้าถึงตามบทบาทใน Data Lake House เพื่อให้แน่ใจว่าบุคคลที่เหมาะสมจะเข้าถึงข้อมูลและระบบที่เหมาะสม
บราวน์กล่าวเสริมว่า ในเวลาเดียวกัน หน่วยงานกำลังสร้างพจนานุกรมข้อมูล ดูแคตตาล็อกข้อมูล และเริ่มขับเคลื่อนสายเลือดกลับลงไปที่แหล่งข้อมูลดั้งเดิม
Credit : ฝากถอนไม่มีขั้นต่ำ / สล็อตแตกง่าย
