หน่วยงานมองหามาตรฐานแนวทางปฏิบัติ

หน่วยงานมองหามาตรฐานแนวทางปฏิบัติ

หน่วยงานชั้นนำกำลังพัฒนาวิธีการวัดการพัฒนาซอฟต์แวร์ที่ปลอดภัยและสร้างความสามารถของ DevSecOps ทั่วทั้งรัฐบาลกลาง โดยได้รับแรงกระตุ้นจากความพยายามด้านความปลอดภัยซอฟต์แวร์จำนวนมากที่เรียกร้องในคำสั่งทำเนียบขาวหลายหน่วยงานได้พัฒนาโปรแกรม DevSecOps ของตนเองในช่วงไม่กี่ปีที่ผ่านมา แต่คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคม 2564 ได้สั่งให้รัฐบาลกลางทั้งหมดนำแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยมาใช้

เมื่อต้นปีนี้ National Institute of Standards and Technology

ได้เผยแพร่เฟรมเวิร์กการพัฒนาซอฟต์แวร์ที่ปลอดภัยเพื่อช่วยแนะนำความพยายามของหน่วยงาน สำนักงานบริหารและงบประมาณของทำเนียบขาวกำลังพัฒนาแนวทางปฏิบัติสำหรับการจัดซื้อซอฟต์แวร์ที่ปลอดภัย

ขณะนี้หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานกำลังทำงานร่วมกับ OMB และ NIST เพื่อพัฒนาวิธีการ “ทั้งภาครัฐ” ในการวัดการพัฒนาซอฟต์แวร์ที่ปลอดภัย ตามที่ Steve Prukowski หัวหน้าฝ่ายทดสอบและประเมินความปลอดภัยของรัฐบาลกลางที่ CISA กล่าว

“มันยังอยู่ระหว่างการดำเนินการ เพราะมีข้อมูลจำนวนมาก ข้อมูลในอดีตที่ไม่ได้มาตรฐาน” พรูโควสกี้กล่าวระหว่างการอภิปรายบนเฟดเดอรัล นิวส์ เน็ตเวิร์กเมื่อวันที่ 12 กรกฎาคม “เราจะใช้เครื่องมืออะไร เราใช้อะไรวัด? ความก้าวหน้าคืออะไร และเราจะนิยามสิ่งนั้นได้อย่างไร ดังนั้นคุณจึงเริ่มต้นจากศูนย์ในบางแง่มุมและด้านอื่นๆ คุณกำลังพยายามดึงข้อมูลในอดีตมารวมกันและทำความเข้าใจกับมัน”

พรูโคว์สกี้ยังทำงานร่วมกับทีมงานและหน่วยงานอื่นๆ ทั่วทั้ง Department of Homeland Security เพื่อสร้างชุมชนแห่งการปฏิบัติสำหรับการทดสอบความปลอดภัยของแอปพลิเคชันโดยเฉพาะ ชุมชนควรช่วยทีมในองค์ประกอบต่างๆ ของ DHS แบ่งปันความรู้และแนวทางปฏิบัติที่ดีที่สุด

“โปรแกรมหนึ่งอาจมีความสามารถมากกว่าในด้านนั้น โดยที่อีกโปรแกรมหนึ่งอาจไม่มี และเราจะใช้ประโยชน์จากทรัพยากรเหล่านั้นได้อย่างไร เพื่อให้เราทุกคนได้รับประโยชน์จากความรู้ร่วมกันของแผนก” พรูโคว์สกี้กล่าว

Angel Phaneuf หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล

ของ Army Software Factory กล่าวว่าหลายองค์กรทั่วทั้งรัฐบาลกำลังเผชิญกับความท้าทายในการแนะนำวิธีการของซอฟต์แวร์ที่คล่องตัวในแนวทางปฏิบัติในการจัดการโปรแกรมที่เป็นที่ยอมรับ

“ผู้คนมีวิธีการจัดการโครงการอยู่แล้ว” ฟาเนิฟกล่าว “ตอนนี้คุณต้องสอนพวกเขาให้คล่องตัว และถ้าคุณไม่เคยได้รับการสอนวิธีรับคำติชมหรือให้คำติชม ก็อาจรู้สึกก้าวร้าวมาก”

ที่โรงงานซอฟต์แวร์ของกองทัพ เจ้าหน้าที่มีข้อได้เปรียบในการฝึกทหารใหม่เป็นกลุ่มๆ ละสี่เดือนโดยใช้ความสามารถด้านเทคโนโลยีที่แตกต่างกัน ฟาเนิฟกล่าว

จากนั้นทหารจะผ่าน “ค่ายฝึก” ตัวเร่งเทคโนโลยีเพื่อทดสอบและพัฒนาทักษะของพวกเขาต่อไป ก่อนที่พวกเขาจะจบการศึกษาไปยังทีมที่นำโดยทหารที่จับคู่กับผู้รับเหมาและผู้เชี่ยวชาญด้านเทคโนโลยี ในที่สุดทหารก็สามารถทำงานได้โดยไม่ต้องใช้ผู้เชี่ยวชาญ

“เหตุผลส่วนใหญ่ที่เราทำเช่นนี้และเรามีนั้นก็เพื่อให้เราสามารถส่งทหารของเราในระดับต่ำ และพวกเขาสามารถทำทุกอย่างตั้งแต่วิศวกรรมแพลตฟอร์ม การพัฒนาซอฟต์แวร์ การออกแบบ UX และสร้างแอปพลิเคชันในสนามรบสำหรับเครื่องบินรบ” ฟาเนิฟ พูดว่า.

เรียนรู้บทเรียน Log4J

การฝึกอบรมอย่างครอบคลุมของ Software Factory ประสบความสำเร็จเมื่อเดือนธันวาคมปีที่แล้ว เมื่อข่าวช่องโหว่ร้ายแรงในยูทิลิตีการบันทึก Apache Log4j ยอดนิยมทำให้โลกแห่งความปลอดภัยทางไซเบอร์ต้องดิ้นรน Phaneuf กล่าวว่าโรงงานสามารถแก้ไขอินสแตนซ์ของ Log4j ทั่วทั้งเครือข่ายได้ภายในเวลาไม่ถึง 24 ชั่วโมง

credit : ฝากถอนไม่มีขั้นต่ำ