ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneสบอ. ฟังดูเหมือนการเล่นคำที่คุณไม่สามารถพูดได้ แต่มันหมายถึงรายการวัสดุซอฟต์แวร์ และคำสั่งของผู้บริหารระดับสูงเกี่ยวกับความปลอดภัยทางไซเบอร์เมื่อเดือนพฤษภาคมที่ผ่านมา กระตุ้นให้หน่วยงานรัฐบาลกลางทำความเข้าใจและใช้ SBOMs เป็นส่วนหนึ่งของความพยายามในการบริหารความเสี่ยง Dr. Georgianna Shea หัวหน้าฝ่ายเทคโนโลยีด้านไซเบอร์และเทคโนโลยีของ
เข้าร่วมกับฉันเพื่ออธิบายว่ารายการวัสดุซอฟต์แวร์คืออะไร
และคุณจะใช้งานมัน ได้อย่างไร Dr. Georgianna Shea หัวหน้านักเทคโนโลยีด้านไซเบอร์และเทคโนโลยีที่ Foundation for the Defense of Democracies ได้พูดคุยกับ Tom Temin ใน Federal Drive ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
Georgianna Shea:ขอบคุณที่มีฉัน
Tom Temin:เรามาเริ่มด้วยการพูดคุยเกี่ยวกับภูมิหลังของคุณเองสักเล็กน้อย เพราะคุณใช้เวลาอย่างจริงจังในกระทรวงกลาโหมเกี่ยวกับปัญหาทางไซเบอร์ ใช่ไหม
จอร์เจียนนา เชีย:ถูกต้อง ฉันทำงานมากกว่า 20 ปีใน DoD ซึ่งส่วนใหญ่เกี่ยวกับประเด็นที่เกี่ยวข้องกับสงครามไซเบอร์ ดังนั้น พยายามทำความเข้าใจจริงๆ ว่าฝ่ายตรงข้ามกำลังทำอะไร พวกเขากำลังทำอะไร และเราปกป้องระบบของเราอย่างไร
Tom Temin:และพวกเขาอาจมี SBOM ดังนั้นเรามาเริ่มกัน
ที่จุดเริ่มต้น รายการวัสดุซอฟต์แวร์คืออะไรกันแน่?
จอร์เจียนนา เชีย:ก็เหมือนกับการผลิตทั่วไป ที่คุณมีใบรายการวัสดุสำหรับการผลิตรถยนต์ สมมติว่าเป็นการผลิตยานพาหนะ มันคือรหัสประจำตัว ซึ่งเป็นรายการชิ้นส่วนทั้งหมดที่รวมอยู่ในผลิตภัณฑ์สำหรับซอฟต์แวร์
Tom Temin:ฉันหมายถึง ซอฟต์แวร์สร้างจากบรรทัดของโค้ด จากนั้นจึงรวบรวมเป็นแอปพลิเคชันรันไทม์ แล้วคุณจะพูดอะไรได้อีกนอกจากโค้ด 10,000 หรือ 100,000 บรรทัด
จอร์เจียนนา เชีย:อืม รหัสจึงถูกนำมาใช้ซ้ำเหมือนกับยางรถยนต์ ดังนั้น เมื่อคุณได้รับรถจากผู้ผลิต พวกเขาจะไม่ผลิตยางล้อเอง แต่จะรับมาจากที่อื่น นั่นเป็นวิธีเดียวกับการพัฒนาซอฟต์แวร์ มากกว่า 75% ของซอฟต์แวร์ทั้งหมดเป็นโอเพ่นซอร์ส ดังนั้น แม้ว่าคุณอาจได้รับสัญญากับองค์กรในการสร้างซอฟต์แวร์ แต่พวกเขาก็จะออกไปที่คลังข้อมูลแบบโอเพ่นซอร์สและดึงโค้ดที่ใช้งานได้อยู่แล้วมาใส่ในแพ็คเกจขนาดใหญ่กว่าที่คุณซื้อจากพวกเขา
Tom Temin:เทียบได้กับเมื่อ 30-40 ปีที่แล้ว เมื่อโปรแกรมเมอร์เขียนโค้ดด้วยมือในภาษา C หรือ Cobalt หรือหนึ่งในภาษาก่อนหน้านั้น ทุกวันนี้ มันเป็นการรวมตัวกันของวัตถุโอเพ่นซอร์ส ยุติธรรมไหมที่จะพูด?Tom Temin:เอาล่ะ ถ้าอย่างนั้นรายการวัสดุของซอฟต์แวร์ก็ระบุว่าวัตถุเหล่านั้นคืออะไรและแหล่งที่มาของวัตถุเหล่านั้น?
จอร์เจียนนา เชีย:ใช่ ดังนั้น รายการซอฟต์แวร์จึงแสดงรายการว่าใครเป็นผู้พัฒนา มาจากไหน มีซอฟต์แวร์ใดบ้างที่อยู่ในนั้น และสาขาต่างๆ และนี่เป็นหนึ่งในสิ่งที่ออกมาจากคำสั่งของผู้บริหาร เพื่อดำเนินการและสร้างมาตรฐานให้กับฟิลด์เหล่านั้น เพราะมันไม่ได้เป็นหนึ่งในแนวทางปฏิบัติที่เป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย ดังนั้น ถ้าฉันจะขอ SBOM ฉันจะเลือกฟิลด์ที่ฉันต้องการ หรือมีคนให้ SBOM กับฉัน และพวกเขาให้ฟิลด์ที่พวกเขาต้องการให้ฉัน ตอนนี้เรากำลังพยายามดำเนินการและทำให้เป็นรูปแบบเดียวกันมากขึ้นซึ่งเป็นที่ยอมรับในระดับสากล
Tom Temin:และถ้าฉันซื้อผลิตภัณฑ์เชิงพาณิชย์ที่ฉันจะปรับใช้สำหรับการใช้งานของรัฐบาลกลางหรือการใช้ DoD โดยปกติแล้วจะมีกี่รายการในใบรายการวัสดุของซอฟต์แวร์ มันเหมือน 50 หรือไม่? 10,000? 100 ล้าน? เรากำลังพูดถึงลำดับความสำคัญแบบใด
Georgianna Shea:ก็ขึ้นอยู่กับขนาดของชุดซอฟต์แวร์ที่คุณกำลังซื้อ แต่ฉันสามารถบอกคุณได้ว่าฉันทำโครงการนำร่องขนาดเล็กกับ SBOM ฉันใช้โมดูลโค้ดโอเพ่นซอร์สที่เปิดเผยต่อสาธารณะจาก GitHub ออนไลน์ที่ใช้กันทั่วไปและรวมเข้ากับซอฟต์แวร์ประเภทอื่น และมีการพึ่งพาโดยตรงเจ็ดประการ ดังนั้นไฟล์ S อาจเป็นรายการส่วนผสมหรือส่วนประกอบเจ็ดรายการและรายละเอียดเบื้องหลัง แต่เมื่อเราเริ่มเจาะลึกลงไปถึงเจ็ดรายการนั้นและทำการวิเคราะห์ เราก็พบว่ามีการอ้างอิงถึง 900 รายการ และนี่เป็นรหัสที่ค่อนข้างเล็กที่เราเคยใช้ ดังนั้นหากนี่คือสิ่งที่ใหญ่กว่านั้นมาก คุณสามารถจินตนาการถึงจำนวนของโค้ดและผู้เขียนและผู้ร่วมให้ข้อมูลต่างๆ ที่รวมกันเป็นชุดซอฟต์แวร์ทั้งหมด
