ทำเนียบขาวเผยแพร่ข้อกำหนดด้านความปลอด

ทำเนียบขาวเผยแพร่ข้อกำหนดด้านความปลอด

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับข้อมูลเสียงสัมภาษณ์ประจำวันของ Federal Drive  บนApple Podcast  หรือ  PodcastOneหน่วยงานต่างๆ จะกำหนดให้ผู้จำหน่ายซอฟต์แวร์รับรองด้วยตนเองว่าพวกเขากำลังปฏิบัติตามแนวทางการพัฒนาที่ปลอดภัยภายใต้คำแนะนำใหม่ของทำเนียบขาว แต่ก็เปิดโอกาสให้หน่วยงานต่างๆ ออกคำสั่งให้ประเมินความปลอดภัยของบุคคลที่สามเช่นกัน

คำแนะนำใหม่จากสำนักงานการจัดการและงบประมาณ”

การเพิ่มความปลอดภัยของซอฟต์แวร์ซัพพลายเชนผ่านแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัย”มีที่มาจากคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์เมื่อปีที่แล้ว

นำไปใช้กับการใช้ซอฟต์แวร์ของบุคคลที่สามของหน่วยงาน ซึ่งจะส่งผลกระทบต่อผู้รับเหมาและผู้ผลิตซอฟต์แวร์จำนวนมากในระบบนิเวศการจัดซื้อจัดจ้างของรัฐบาลกลาง

        ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ

ในบล็อกโพสต์ Chris DeRusha หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางเน้นคำแนะนำใหม่และอธิบายถึงแรงกระตุ้นที่อยู่เบื้องหลังการผลักดันเพื่อความปลอดภัยของซอฟต์แวร์ที่ดีขึ้นรวมถึงการประนีประนอม SolarWinds ในปี 2020 ของหน่วยงานหลายแห่ง

“ไม่นานมานี้ เกณฑ์ที่แท้จริงเพียงอย่างเดียวสำหรับคุณภาพของซอฟต์แวร์คือการทำงานตามที่โฆษณาไว้หรือไม่” DeRusha เขียน “ด้วยภัยคุกคามทางไซเบอร์ที่หน่วยงานรัฐบาลกลางเผชิญอยู่ เทคโนโลยีของเราจึงต้องพัฒนาในลักษณะที่ยืดหยุ่นและปลอดภัย สร้างความมั่นใจในการส่งมอบบริการที่สำคัญแก่ประชาชนชาวอเมริกัน ในขณะเดียวกันก็ปกป้องข้อมูลของประชาชนชาวอเมริกันและป้องกันศัตรูจากต่างประเทศ”

บันทึกช่วยจำ OMB ต้องการให้หน่วยงานต่างๆ

 ตรวจสอบว่าซอฟต์แวร์ของพวกเขาได้รับการพัฒนาตามเอกสารสองฉบับที่เผยแพร่เมื่อต้นปีนี้โดย National Institute of Standards and Technology: “Secure Software Development Framework” (SSDF) รวมถึง “คำแนะนำด้านความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์” ”

สิ่งสำคัญคือ บันทึกช่วยจำ OMB กำหนดให้หน่วยงานขอการรับรองด้วยตนเองจากผู้ผลิตซอฟต์แวร์ว่าเป็นไปตามแนวทางปฏิบัติของ NIST

“การรับรองด้วยตนเองของผู้ผลิตซอฟต์แวร์ทำหน้าที่เป็น ‘คำชี้แจงความสอดคล้อง’ ที่อธิบายโดย NIST Guidance” บันทึกช่วยจำ OMB กล่าว “หน่วยงานต้องได้รับการรับรองด้วยตนเองสำหรับซอฟต์แวร์ของบุคคลที่สามทั้งหมดภายใต้ข้อกำหนดของบันทึกข้อตกลงนี้ที่ใช้โดยหน่วยงาน รวมถึงการต่ออายุซอฟต์แวร์และการเปลี่ยนแปลงเวอร์ชันหลัก”

บันทึกช่วยจำ OMB ยังช่วยให้หน่วยงานยอมรับ “แผนปฏิบัติการและเหตุการณ์สำคัญ” จากผู้จำหน่ายซอฟต์แวร์ในกรณีที่ไม่สามารถปฏิบัติตามแนวทางปฏิบัติของ NIST ได้ทั้งหมด

แต่ OMB จะอนุญาตให้เอเจนซี่กำหนดข้อกำหนดด้านความปลอดภัยของซอฟต์แวร์ที่เข้มงวดมากขึ้นหากเห็นว่าเหมาะสม

credit: ronaldredito.org cheapcustomsale.net trinitycafe.net faultyvision.net luxurylacewigsheaven.net norpipesystems.com devrimciproletarya.info derrymaine.net tomsbuildit.org taboocartoons.net