ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ในApple Podcasts หรือ PodcastOneกลุ่มอุตสาหกรรมกำลังกดดันฝ่ายบริหารของ Biden เป็นเวลานานก่อนที่จะออกกฎใหม่ที่กำหนดให้ผู้รับเหมาของรัฐบาลกลางต้องจัดหา “รายการวัสดุซอฟต์แวร์” ให้กับหน่วยงานจัดซื้อ“SBOM” เป็นหนึ่งในแนวปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ที่รัฐบาลกำลังพิจารณา เนื่องจากเป็นการกำหนดข้อกำหนดใหม่ภายใต้คำสั่งฝ่ายบริหารในเดือนพฤษภาคมของประธานาธิบดีโจ ไบเดน คำสั่งดังกล่าวกำหนดให้หน่วยงานด้านโทรคมนาคมและสารสนเทศแห่งชาติเผยแพร่ “องค์ประกอบขั้นต่ำ”
สำหรับ SBOM ภายในวันที่ 11 กรกฎาคม
จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
Allan Friedman ผู้อำนวยการฝ่ายริเริ่มด้านความปลอดภัยในโลกไซเบอร์ของ NTIA กล่าวว่าหน่วยงานของเขากำลังดำเนินการตามกำหนดเวลา
“เรากำลังจะมีเอกสารสาธารณะที่กำหนดองค์ประกอบขั้นต่ำของ SBOM และรูปแบบต่างๆ รวมถึงเส้นทางสู่อนาคตว่าเราจะเปลี่ยนจากองค์ประกอบขั้นต่ำไปสู่การขยายได้อย่างไร” ฟรีดแมนกล่าวเมื่อวันที่ 21 มิถุนายน เหตุการณ์ที่จัดโดย R Street Institute “จากนั้นส่วนอื่น ๆ ของรัฐบาลจะหยิบขึ้นมาและทำงานร่วมกับ NTIA เพื่อพิจารณาว่ามีลักษณะอย่างไรจากมุมมองของกฎการจัดซื้อจัดจ้างของรัฐบาลกลาง และ NTIA จะยังคงดูแลชุมชนผู้มีส่วนได้ส่วนเสียต่อไปเพื่อมุ่งเน้นไปที่การนำไปปฏิบัติในวงกว้าง”
คำสั่งผู้บริหารกำหนด SBOM เป็น ”บันทึกอย่างเป็นทางการที่มีรายละเอียดและความสัมพันธ์ในห่วงโซ่อุปทานของส่วนประกอบต่างๆ ที่ใช้ในการสร้างซอฟต์แวร์”
ฟรีดแมนกล่าวว่าหนึ่งใน “การเปรียบเทียบที่ไม่สมบูรณ์เล็กน้อย” คือส่วนผสมที่ระบุไว้ด้านหลังบรรจุภัณฑ์อาหาร
“[ซอฟต์แวร์] ถูกประกอบขึ้นจากชิ้นส่วนต่างๆ ในเลเยอร์ต่างๆ
ซึ่งมักจะเป็นโอเพ่นซอร์ส” เขากล่าว “และส่วนประกอบเหล่านี้จำนวนมากล้าสมัย เช่น รายการส่วนผสม อาจเน่าเสียหรือล้าสมัย หรือในกรณีของความปลอดภัยในโลกไซเบอร์ อาจถูกบุกรุกอย่างจริงจัง ดังนั้นรายการวัสดุซอฟต์แวร์หรือ SBOM จึงเป็นก้าวแรกสู่ความโปร่งใสมากขึ้นในห่วงโซ่อุปทานของเรา”
ตั้งแต่ปี 2018 ฟรีดแมนได้นำงานของ NTIA ในโครงการริเริ่มความโปร่งใสของซอฟต์แวร์ที่มีเป้าหมายเพื่อกำหนด SBOMs โดยร่วมมือกับอุตสาหกรรมอื่นๆ สถาบันการศึกษา และผู้มีส่วนได้ส่วนเสียจากภาครัฐ งานนี้ได้นำไปสู่การพิสูจน์แนวคิดหลายประการในภาคการดูแลสุขภาพ พลังงาน และยานยนต์
“มันจะไม่แก้ปัญหาทุกอย่าง” ฟรีดแมนกล่าว “มีวิธีอื่นอีกมากมายที่บางคนอาจต้องการโจมตีห่วงโซ่อุปทาน เช่น ไล่ตามเครื่องมือต่างๆ แต่อย่างน้อยที่สุด เราก็สามารถบอกได้ว่าส่วนประกอบคืออะไร”
ในคำขอความคิดเห็นที่เผยแพร่ในเดือนมิถุนายน NTIA ได้แสดงตัวอย่างเอกสารองค์ประกอบขั้นต่ำ ซึ่งรวมถึงฟิลด์ข้อมูลที่เสนอ ข้อพิจารณาในการดำเนินงาน และการสนับสนุนสำหรับระบบอัตโนมัติ องค์กรมากกว่า 80 องค์กรตอบรับต่อ NTIA รวมถึงบริษัทและกลุ่มอุตสาหกรรมต่างๆ โดยมีหลายองค์กรที่เสนอความคิดเห็นและข้อพิจารณาทางเทคนิค
แต่กลุ่มต่างๆ ยังแนะนำให้เร่งดำเนินการตามข้อกำหนด SBOM ใหม่กับผู้รับเหมาด้วย
“หอการค้ามีเป้าหมายหลายอย่างของฝ่ายบริหารเกี่ยวกับ SBOM” หอการค้าสหรัฐเขียนจดหมายถึง NTIA เมื่อวันที่ 17 มิถุนายน “อย่างไรก็ตาม ความซับซ้อนและลำดับเวลาเชิงรุกของ EO อาจขัดขวางการสร้างฉันทามติที่มีระเบียบแบบแผนซึ่งยังคงจำเป็นในการพัฒนา SBOM โดยเฉพาะอย่างยิ่งสำหรับการทำสัญญาของรัฐบาลกลางที่บรรลุเป้าหมายร่วมกันระหว่างอุตสาหกรรมกับรัฐบาล เช่น ความโปร่งใสของซอฟต์แวร์ที่เพิ่มขึ้น ความไว้วางใจ นวัตกรรม และความปลอดภัย ”
นอกจากนี้ สมาคมอุตสาหกรรมป้องกันประเทศยังได้เรียกร้องให้ระมัดระวังในการพัฒนาข้อกำหนดของ SBOM
“เราหวังว่าความคิดเห็นและคำถามของเราจะช่วย NTIA ในการสร้างและเผยแพร่รายการ ‘องค์ประกอบขั้นต่ำสำหรับ SBOM’ ที่ยกระดับมาตรฐานการรักษาความปลอดภัย ในขณะเดียวกันก็คำนึงถึงต้นทุนและผลประโยชน์ของข้อกำหนดใหม่ด้วย” NDIA เขียนในจดหมายถึง หน่วยงานพาณิชย์ “อันที่จริง การออกกฎใหม่อย่างเร่งรีบในท้ายที่สุดอาจนำไปสู่ความพ่ายแพ้ในเป้าหมายร่วมกันของเราในการปรับปรุงการป้องกันความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกาดังที่เราได้เห็นในด้านอื่นๆ”
