ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ในApple Podcasts หรือ PodcastOneเบื้องลึกของคำสั่งผู้บริหารของ Biden เกี่ยวกับความปลอดภัยทางไซเบอร์คือแนวคิดของรายการซอฟต์แวร์ ( SBOMs ) คำสั่งดังกล่าวได้มอบหน้าที่ให้กับกระทรวงพาณิชย์ในการออกแนวปฏิบัติสำหรับการรักษาความปลอดภัยห่วงโซ่อุปทานของซอฟต์แวร์ รายละเอียดอย่างหนึ่งขอให้ภาคอุตสาหกรรมแสดงความคิดเห็นต่อ National Telecom and Information Administration เกี่ยวกับ SBOM มันคืออะไรและ
เกี่ยวข้องอย่างไรกับซอฟต์แวร์ที่ปลอดภัย สำหรับคำตอบบางอย่าง
Federal Drive กับ Tom Temin หันไปใช้ Linux Foundation แบบโอเพ่นซอร์ส Kate Stewart เป็นรองประธานของมูลนิธิเกี่ยวกับระบบฝังตัวที่วางใจได้ และ David Wheeler เป็นผู้อำนวยการของมูลนิธิด้านความปลอดภัยโอเพ่นซอร์สซัพพลายเชน ข้อมูลเชิงลึกโดย Sumo Logic: ในการสัมมนาทางเว็บฉบับพิเศษของ Ask the CIO เจสัน มิลเลอร์และแขกรับเชิญของเขา เจฟฟ์ ชิลลิงจากสถาบันมะเร็งแห่งชาติและจอร์จ เกอร์โชวแห่งซูโมลอจิกจะเจาะลึกว่าการจัดการข้อมูลและระบบคลาวด์ขับเคลื่อนกลยุทธ์การปรับปรุงไอทีให้ทันสมัยที่ National Cancer ได้อย่างไร สถาบัน.
ทอม เทมิน:เคท ยินดีที่ได้ร่วมงาน
Kate Stewart:ขอบคุณมากสำหรับการเชิญฉัน
Tom Temin:และ David A. Wheeler เป็นผู้อำนวยการของมูลนิธิด้านความปลอดภัยของห่วงโซ่อุปทานแบบโอเพ่นซอร์ส คุณวีล เลอร์ ยินดีที่ได้รู้จักDavid A. Wheeler:ขอบคุณมาก มันยอดเยี่ยมที่ได้มาที่นี่
ทอม เทมิน:เอาล่ะ เรามาเริ่มกันที่จุดเริ่มต้น SBOM คืออะไร? ฉันคิดว่าผู้ซื้อจำนวนมากคิดว่าซอฟต์แวร์เป็นรายการสินค้าเป็นส่วนใหญ่ แต่จริงๆ แล้วเป็นรายการวัสดุ นางสาวสจ๊วต?
เคท สจ๊วต:ใช่. ดังนั้นการสร้างซอฟต์แวร์จากวัสดุจึงเป็นรายการส่วนประกอบที่มีประสิทธิภาพ มีอะไรอยู่ในซอฟต์แวร์ของคุณ ส่วนผสมของคุณอยู่ที่ไหน แล้วเกี่ยวข้องกันอย่างไร? มีการพึ่งพาจำนวนมากที่อยู่ในห่วงโซ่อุปทานในขณะนี้ และความสามารถในการระบุการพึ่งพาจากส่วนประกอบซอฟต์แวร์หนึ่งไปยังส่วนประกอบซอฟต์แวร์อื่นช่วยให้คุณเข้าใจระดับความเสี่ยง ตอนนี้ ทั้งหมดนี้เป็นส่วนหนึ่งของการสร้างซอฟต์แวร์และซอฟต์แวร์ที่คุณใช้มีความโปร่งใสมากขึ้น ซึ่งมีกรณีการใช้งานอื่นๆ เช่นกัน ดังนั้นการสร้างซอฟต์แวร์จากวัสดุจึงมีมานานแล้วในบางพื้นที่ และส่วนใหญ่จะใช้ในด้านการออกใบอนุญาตและการจัดซื้อจัดจ้าง แต่ความโปร่งใสแบบเดียวกันที่เป็นประโยชน์ต่อส่วนนั้นของอุตสาหกรรมนั้นมีค่ามากสำหรับด้านช่องโหว่เช่นกัน ดังนั้น, นี่คือจุดที่เราได้รับจากการสร้างซอฟต์แวร์จากมุมมองของวัสดุ และเรากำลังพยายามนำและใช้ประโยชน์จากงานบางอย่างที่ทำในโดเมนอื่นไปสู่การรักษาความปลอดภัยในตอนนี้
Tom Temin:และด้วยชื่อของคุณในฐานะรองประธานฝ่ายระบบฝังตัวที่เชื่อถือได้ ฉันเดาว่าสิ่งนี้ใช้ได้กับทั้งซอฟต์แวร์แพ็คเกจที่พัฒนาขึ้นเพื่อทำหน้าที่ที่ทำงานบนเซิร์ฟเวอร์ที่ไหนสักแห่ง อย่างที่กล่าวกันว่าระบบประเภทการทหารที่มีอยู่ในตัว กล่องดำบนแพลตฟอร์มที่ไหนสักแห่ง
เคท สจ๊วต:ใช่. การสร้างซอฟต์แวร์จากวัสดุสามารถสร้างขึ้นสำหรับซอฟต์แวร์ประเภทใดก็ได้ ไม่ว่าจะเป็นโอเพ่นซอร์ส กรรมสิทธิ์ หรือเปิดอย่างสมบูรณ์บนเซิร์ฟเวอร์ที่ใดที่หนึ่ง โดยฝังลึก อันที่จริง สิ่งหนึ่งที่ฉันตื่นเต้นมากคือหนึ่งในโครงการที่เราทำที่ Linux Foundation นั่นคือ Zephyr สำหรับอุปกรณ์ที่มีทรัพยากรจำกัด เช่น เซ็นเซอร์และแอคชูเอเตอร์ และสิ่งที่เรากำลังทำอยู่ในรีลีสล่าสุด รีลีส [เวอร์ชัน] 2.6 ตอนนี้คุณมีความสามารถในบิลด์ของคุณ สร้างรายการวัสดุซอฟต์แวร์โดยอัตโนมัติโดยเป็นส่วนหนึ่งของบิลด์ และมันจะนำไปใช้ ลงไปถึงระดับซอร์สไฟล์ซึ่งเป็นจุดที่เกิดช่องโหว่ขึ้น ส่วนประกอบเป็นสิ่งหนึ่ง แต่วิธีการสร้าง วิธีการกำหนดค่า ข้อมูลทั้งหมดนั้นเป็นกุญแจสำคัญในการทำความเข้าใจว่าคุณมีความเสี่ยงหรือไม่? ถูกเอาเปรียบได้หรือไม่? และดังนั้น เมื่อเห็นว่าเราสามารถทำให้สิ่งนี้เป็นแบบอัตโนมัติได้ เป็นเรื่องที่น่าตื่นเต้นจริงๆ และมีหลักฐานอยู่ที่นั่น จากนั้นโครงการ Yocto ซึ่งเป็นโครงการ Linux Foundation อีกโครงการหนึ่ง กำลังดำเนินการฝังตัว distros อย่างมีประสิทธิภาพ ซึ่งหลายสิ่งหลายอย่างขึ้นอยู่กับและมุ่งเน้นไปที่การค้นหาว่าเราจะทำให้ทั้งหมดนี้เป็นอัตโนมัติได้อย่างไรโดยเป็นส่วนหนึ่งของงานสร้างของพวกเขา