#أحدث الأخبار مع #SBOMSوكالة نيوز٣٠-٠٤-٢٠٢٥وكالة نيوزيجب أن يوازن البنتاغون السرعة مع السلامة لأنه يقوم بتحديث البرامجتعتبر وزارة الدفاع عرضة لخطر كبير في القبض عليها من قبل الضعف التالي للبرمجيات. عندما يكتشف خصم ذلك ، قد لا يعرف البنتاغون الأنظمة التي يتم تعريضها حتى يتم تدوين أضرار جسيمة. هذه البقعة العمياء خطرة. يحتاج البنتاغون إلى تحقيق التوازن بين عملية اكتساب البرامج الخاصة به من خلال نظام أفضل لقياس نقاط الضعف المستقبلية وتخفيف الأذى في حالة حدوث هجوم. تتفهم DOD الحاجة إلى تحديث البرمجيات وتتخذ خطوات لتحسين كل من أساليب التطوير والمشتريات. أ التوجيه الأخير يعين مسار اكتساب البرامج (SWP) كعملية أساسية لإنشاء كل من الأسلحة وأنظمة الأعمال. يمثل هذا التطور اللازم تحولًا من الجداول الزمنية المطولة التي تركز على الأجهزة إلى نموذج يركز على البرامج بشكل أسرع وأكثر مرونة. يقوم SWP بتبسيط التطوير ويؤكد السرعة من خلال السماح للبرامج بمشاركة نتائج اختبار البرمجيات وإعادة عرضها. على الرغم من أن السرعة مهمة ، فإن هذا النهج الجديد يسيطر أيضًا على نقاط الضعف المحتملة: إذا لم يتم اكتشاف الخلل في مشروع واحد أو يظهر فقط بعد الاختبار الأولي ، فقد لا تكون هناك اختبارات أمان لاحقة لتحديدها. هذا يخلق مشكلة رؤية حرجة. البرنامج يتغير باستمرار. قد يكون النظام الذي اجتاز اختبارات أمنية الشهر الماضي ضعيفًا اليوم بسبب عيب تم اكتشافه حديثًا في أحد تبعياته. بدون سجل واضح لما يوجد داخل كل حزمة برامج ، لا توجد طريقة موثوقة لتقييم ما إذا كانت نتائج الاختبار الحالية لا تزال تنطبق. لعلاج هذه التحديات ، يجب أن يتطلب البنتاغون فواتير البرمجيات للمواد (SBOMS) لجميع البرامج التي يكتسبها وتديرها. ستقوم SBOMs بإعداد البنتاغون للاستجابة بسرعة وتخفيف عيوب البرامج التي تستغلها خصومات لإجراء الهجمات الإلكترونية المدمرة والتجسس. يجب أن تكملها تقارير الكشف عن الضعف (VDRS) من المنتجين الأصليين للبرنامج ونظام مركزي لتتبع ومشاركة هذه المعلومات عبر مؤسسة DOD. SBOMs هي أجراف رقمية تسرد مكونات حزمة البرامج – كل مكون وإصدار واعتماد. أنها تعطي فرق الأمن السيبراني السياق اللازم للعمل بسرعة عندما تظهر الضعف. إن طلب SBOMS سيمكن البنتاغون من تتبع التهديدات وتحديد المخاطر في دقائق بدلاً من ساعات أو أيام. الفوائد ليست افتراضية. عندما log4shell ضربت الضعف في عام 2021 ، حددت المنظمات التي لديها SBOMs على الفور تعرضها لمكتبة Log4J المعرضة للخطر. كيانات بدونها تدافعت ، تمشيط يدويًا من خلال قوائم الكود وقوائم البائعين. هذا النوع من التأخير ليس فقط غير فعال في بيئة الدفاع – إنها كارثة. بلدان أخرى تدرك هذا أيضًا. الهند ، على سبيل المثال ، أيد صراحة متطلبات SBOM في شراء القطاع العام ، في حين بريطاني لقد اعترفت الحكومة علنا بفوائد SBOMs لتتبع الثغرات في المكونات الإلكترونية. على الرغم من أن SBOMs توفر الشفافية في مكونات المنتج ، إلا أنها لا تثبت تمامًا ما إذا كانت ثغرة أمنية معينة قابلة للاستغلال. هذا هو السبب في أن البنتاغون يجب أن يكمل SBOMs مع VDRs من المطورين الأصليين للمنتج لاتخاذ هذا القرار. عندما يكتشف الباحثون نقاط الضعف في أجزاء مكونات من البرامج ، فإن المنتج فقط لديه الخبرة لتأكيد ما إذا كانت الضعف تؤثر على منتجاتهم. على غرار كيف يكشف التفتيش الشامل للمنزل عن مخاطر محتملة أو أ كارفاكس يتتبع التقارير المشكلات مع Cars ، VDR هو وثيقة ديناميكية تفصل نقاط الضعف أو المشكلات المعروفة مع منتج البرمجيات. نتيجة لذلك ، يعد VDR ضروريًا لتقييم مخاطر البرمجيات الفعال مثل SBOM. علاوة على ذلك ، يوفر SBOMS و VDRs الوقت والمال. أنها تقلل من الاختبارات الزائدة ، وتسريع الاستجابة للحوادث ، وتساعد فرق الاستحواذ على التحقق من أن ما يشتريه آمن. التكلفة المقدمة للتنفيذ صغيرة مقارنة بالأضرار التي يمكن أن تسببها خرق ، ليس فقط بالدولار ولكن في تأثير المهمة. تدعم سياسة DOD بالفعل المبادئ وراء SBOMS و VDRs. يشجع SWP الاختبارات المستمرة والفحوصات الأمنية الآلية. الأمر التنفيذي 14028 يوجه الوكالات الفيدرالية لتعزيز أمان سلسلة التوريد للبرامج ويسمح لها بطلب SBOMs من البائعين ، وخاصة بالنسبة للبرامج الحرجة ، كجزء من ممارسات التطوير والمشتريات الآمنة الأوسع. إرشادات من مكتب الإدارة والميزانية الدول يجب على موردي البرمجيات التأكد من عدم وجود نقاط ضعف معروفة في البرامج التي تم إصدارها إلى السوق ، وهو متطلب صدى في قانون المرونة الإلكترونية في الاتحاد الأوروبي وبرنامج CISA الآمن شكل الشاهد. ال دليل اختبار الأمن السيبراني ودليل التقييم ، توجيه الجيش 2024 على شفافية البرمجيات و إرشاد من المعهد الوطني للمعايير والتكنولوجيا يعزز هذا الاتجاه. الأساس موجود ، لكن التوصيات الموضحة هنا تحتاج إلى وضع موضع التنفيذ. للقيام بذلك بشكل فعال ، يحتاج البنتاغون أيضًا إلى خطة لإدارة المعلومات التي تنجيدها من SBOMS و VDRs. إذا قام كل مكتب DOD أو وحدة عسكرية بتخزين هذه القطع الأثرية في أنظمة منفصلة ، فلن تختفي مشكلة الرؤية. بدلاً من ذلك ، تحتاج DOD إلى مستودع مركزي ، ومنصة مشتركة حيث يمكن للفرق في القسم الوصول إلى SBOMs و VDRs وغيرها من عمليات الشهادة لإبلاغ القرارات وتتبع المخاطر وتجنب الازدواجية. هذه القدرة موجودة بالفعل. مستودع CISA لشهادات البرمجيات والتحف (RSAA) منفذ يوفر تخزينًا مركزيًا وآمنًا لـ SBOMs والتحف ذات الصلة ، بما في ذلك VDRs ، في متناول جميع الوكالات الحكومية الأمريكية. لا يتطلب الاستفادة من RSAA كمورد على مستوى الحكومة أي بنية تحتية أو تكلفة جديدة ، ويمكن أن تكون بمثابة العمود الفقري لجهود شفافية البرامج للمضي قدمًا. السرعة أمر بالغ الأهمية. السرعة بدون رؤية والأمان مقامرة. مع سباق البنتاغون لتحديث عملية الاستحواذ على البرامج ، يجب أن تفعل ذلك بمعرفة واضحة بما تعمل. الحلول المقترحة هنا يمكن تنفيذها بسهولة وفعالة من حيث التكلفة وستقدم سلسلة توريد آمنة تستحق المهام التي تدعمها. الدكتور جورجيانا 'جورج' شيا هو كبير الفنيين في مؤسسة الدفاع عن مركز الديمقراطيات للابتكار السيبراني والتكنولوجيا ومختبر الابتكار السيبراني التحويلي. وهي في طليعة ابتكار الأمن السيبراني مع ما يقرب من 30 عامًا من الخبرة الرائدة في القطاعات الفيدرالية والتجارية.
وكالة نيوز٣٠-٠٤-٢٠٢٥وكالة نيوزيجب أن يوازن البنتاغون السرعة مع السلامة لأنه يقوم بتحديث البرامجتعتبر وزارة الدفاع عرضة لخطر كبير في القبض عليها من قبل الضعف التالي للبرمجيات. عندما يكتشف خصم ذلك ، قد لا يعرف البنتاغون الأنظمة التي يتم تعريضها حتى يتم تدوين أضرار جسيمة. هذه البقعة العمياء خطرة. يحتاج البنتاغون إلى تحقيق التوازن بين عملية اكتساب البرامج الخاصة به من خلال نظام أفضل لقياس نقاط الضعف المستقبلية وتخفيف الأذى في حالة حدوث هجوم. تتفهم DOD الحاجة إلى تحديث البرمجيات وتتخذ خطوات لتحسين كل من أساليب التطوير والمشتريات. أ التوجيه الأخير يعين مسار اكتساب البرامج (SWP) كعملية أساسية لإنشاء كل من الأسلحة وأنظمة الأعمال. يمثل هذا التطور اللازم تحولًا من الجداول الزمنية المطولة التي تركز على الأجهزة إلى نموذج يركز على البرامج بشكل أسرع وأكثر مرونة. يقوم SWP بتبسيط التطوير ويؤكد السرعة من خلال السماح للبرامج بمشاركة نتائج اختبار البرمجيات وإعادة عرضها. على الرغم من أن السرعة مهمة ، فإن هذا النهج الجديد يسيطر أيضًا على نقاط الضعف المحتملة: إذا لم يتم اكتشاف الخلل في مشروع واحد أو يظهر فقط بعد الاختبار الأولي ، فقد لا تكون هناك اختبارات أمان لاحقة لتحديدها. هذا يخلق مشكلة رؤية حرجة. البرنامج يتغير باستمرار. قد يكون النظام الذي اجتاز اختبارات أمنية الشهر الماضي ضعيفًا اليوم بسبب عيب تم اكتشافه حديثًا في أحد تبعياته. بدون سجل واضح لما يوجد داخل كل حزمة برامج ، لا توجد طريقة موثوقة لتقييم ما إذا كانت نتائج الاختبار الحالية لا تزال تنطبق. لعلاج هذه التحديات ، يجب أن يتطلب البنتاغون فواتير البرمجيات للمواد (SBOMS) لجميع البرامج التي يكتسبها وتديرها. ستقوم SBOMs بإعداد البنتاغون للاستجابة بسرعة وتخفيف عيوب البرامج التي تستغلها خصومات لإجراء الهجمات الإلكترونية المدمرة والتجسس. يجب أن تكملها تقارير الكشف عن الضعف (VDRS) من المنتجين الأصليين للبرنامج ونظام مركزي لتتبع ومشاركة هذه المعلومات عبر مؤسسة DOD. SBOMs هي أجراف رقمية تسرد مكونات حزمة البرامج – كل مكون وإصدار واعتماد. أنها تعطي فرق الأمن السيبراني السياق اللازم للعمل بسرعة عندما تظهر الضعف. إن طلب SBOMS سيمكن البنتاغون من تتبع التهديدات وتحديد المخاطر في دقائق بدلاً من ساعات أو أيام. الفوائد ليست افتراضية. عندما log4shell ضربت الضعف في عام 2021 ، حددت المنظمات التي لديها SBOMs على الفور تعرضها لمكتبة Log4J المعرضة للخطر. كيانات بدونها تدافعت ، تمشيط يدويًا من خلال قوائم الكود وقوائم البائعين. هذا النوع من التأخير ليس فقط غير فعال في بيئة الدفاع – إنها كارثة. بلدان أخرى تدرك هذا أيضًا. الهند ، على سبيل المثال ، أيد صراحة متطلبات SBOM في شراء القطاع العام ، في حين بريطاني لقد اعترفت الحكومة علنا بفوائد SBOMs لتتبع الثغرات في المكونات الإلكترونية. على الرغم من أن SBOMs توفر الشفافية في مكونات المنتج ، إلا أنها لا تثبت تمامًا ما إذا كانت ثغرة أمنية معينة قابلة للاستغلال. هذا هو السبب في أن البنتاغون يجب أن يكمل SBOMs مع VDRs من المطورين الأصليين للمنتج لاتخاذ هذا القرار. عندما يكتشف الباحثون نقاط الضعف في أجزاء مكونات من البرامج ، فإن المنتج فقط لديه الخبرة لتأكيد ما إذا كانت الضعف تؤثر على منتجاتهم. على غرار كيف يكشف التفتيش الشامل للمنزل عن مخاطر محتملة أو أ كارفاكس يتتبع التقارير المشكلات مع Cars ، VDR هو وثيقة ديناميكية تفصل نقاط الضعف أو المشكلات المعروفة مع منتج البرمجيات. نتيجة لذلك ، يعد VDR ضروريًا لتقييم مخاطر البرمجيات الفعال مثل SBOM. علاوة على ذلك ، يوفر SBOMS و VDRs الوقت والمال. أنها تقلل من الاختبارات الزائدة ، وتسريع الاستجابة للحوادث ، وتساعد فرق الاستحواذ على التحقق من أن ما يشتريه آمن. التكلفة المقدمة للتنفيذ صغيرة مقارنة بالأضرار التي يمكن أن تسببها خرق ، ليس فقط بالدولار ولكن في تأثير المهمة. تدعم سياسة DOD بالفعل المبادئ وراء SBOMS و VDRs. يشجع SWP الاختبارات المستمرة والفحوصات الأمنية الآلية. الأمر التنفيذي 14028 يوجه الوكالات الفيدرالية لتعزيز أمان سلسلة التوريد للبرامج ويسمح لها بطلب SBOMs من البائعين ، وخاصة بالنسبة للبرامج الحرجة ، كجزء من ممارسات التطوير والمشتريات الآمنة الأوسع. إرشادات من مكتب الإدارة والميزانية الدول يجب على موردي البرمجيات التأكد من عدم وجود نقاط ضعف معروفة في البرامج التي تم إصدارها إلى السوق ، وهو متطلب صدى في قانون المرونة الإلكترونية في الاتحاد الأوروبي وبرنامج CISA الآمن شكل الشاهد. ال دليل اختبار الأمن السيبراني ودليل التقييم ، توجيه الجيش 2024 على شفافية البرمجيات و إرشاد من المعهد الوطني للمعايير والتكنولوجيا يعزز هذا الاتجاه. الأساس موجود ، لكن التوصيات الموضحة هنا تحتاج إلى وضع موضع التنفيذ. للقيام بذلك بشكل فعال ، يحتاج البنتاغون أيضًا إلى خطة لإدارة المعلومات التي تنجيدها من SBOMS و VDRs. إذا قام كل مكتب DOD أو وحدة عسكرية بتخزين هذه القطع الأثرية في أنظمة منفصلة ، فلن تختفي مشكلة الرؤية. بدلاً من ذلك ، تحتاج DOD إلى مستودع مركزي ، ومنصة مشتركة حيث يمكن للفرق في القسم الوصول إلى SBOMs و VDRs وغيرها من عمليات الشهادة لإبلاغ القرارات وتتبع المخاطر وتجنب الازدواجية. هذه القدرة موجودة بالفعل. مستودع CISA لشهادات البرمجيات والتحف (RSAA) منفذ يوفر تخزينًا مركزيًا وآمنًا لـ SBOMs والتحف ذات الصلة ، بما في ذلك VDRs ، في متناول جميع الوكالات الحكومية الأمريكية. لا يتطلب الاستفادة من RSAA كمورد على مستوى الحكومة أي بنية تحتية أو تكلفة جديدة ، ويمكن أن تكون بمثابة العمود الفقري لجهود شفافية البرامج للمضي قدمًا. السرعة أمر بالغ الأهمية. السرعة بدون رؤية والأمان مقامرة. مع سباق البنتاغون لتحديث عملية الاستحواذ على البرامج ، يجب أن تفعل ذلك بمعرفة واضحة بما تعمل. الحلول المقترحة هنا يمكن تنفيذها بسهولة وفعالة من حيث التكلفة وستقدم سلسلة توريد آمنة تستحق المهام التي تدعمها. الدكتور جورجيانا 'جورج' شيا هو كبير الفنيين في مؤسسة الدفاع عن مركز الديمقراطيات للابتكار السيبراني والتكنولوجيا ومختبر الابتكار السيبراني التحويلي. وهي في طليعة ابتكار الأمن السيبراني مع ما يقرب من 30 عامًا من الخبرة الرائدة في القطاعات الفيدرالية والتجارية.
٣٠-٠٤-٢٠٢٥
