Departemen Pertahanan berada pada risiko besar ditangkap datar oleh kerentanan perangkat lunak berikutnya. Ketika musuh menemukannya, Pentagon mungkin tidak tahu sistem mana yang terpapar sampai kerusakan substansial telah dilakukan. Titik buta ini berbahaya. Pentagon perlu menyeimbangkan mempercepat proses akuisisi perangkat lunak dengan sistem yang lebih baik untuk mengukur kerentanan prospektif dan mengurangi kerugian jika terjadi serangan.
DoD memahami perlunya modernisasi perangkat lunak dan mengambil langkah -langkah untuk meningkatkan metode pengembangan dan pengadaannya. Arahan baru -baru ini menunjuk jalur akuisisi perangkat lunak (SWP) sebagai proses utama untuk menciptakan senjata dan sistem bisnis. Evolusi yang diperlukan ini menandai pergeseran dari garis waktu yang panjang dan berfokus pada perangkat keras ke model yang lebih fleksibel dan lebih fleksibel. SWP merampingkan pengembangan dan menekankan kecepatan dengan memungkinkan program untuk berbagi dan menggunakan kembali hasil tes perangkat lunak.
Sementara kecepatan itu penting, pendekatan baru ini juga memperbesar kerentanan potensial: jika cacat tidak terdeteksi dalam satu proyek atau hanya terungkap setelah pengujian awal, mungkin tidak ada tes keamanan berikutnya untuk mengidentifikasinya. Ini menciptakan masalah visibilitas kritis.
Perangkat lunak terus berubah. Sebuah sistem yang lulus tes keamanan bulan lalu bisa rentan hari ini karena cacat yang baru ditemukan di salah satu ketergantungannya. Tanpa catatan yang jelas tentang apa yang ada di dalam setiap paket perangkat lunak, tidak ada cara yang dapat diandalkan untuk menilai apakah hasil tes yang ada masih berlaku.
Untuk memperbaiki tantangan -tantangan ini, Pentagon harus dibutuhkan Tagihan material perangkat lunak (SBOMS) Untuk semua perangkat lunak yang diperoleh dan dikelola. SBOMS akan mempersiapkan Pentagon untuk dengan cepat menanggapi dan mengurangi kelemahan perangkat lunak yang dieksploitasi musuh untuk melakukan spionase dan serangan cyber yang mengganggu. Mereka harus dilengkapi dengan Laporan Pengungkapan Kerentanan (VDR) dari produsen asli perangkat lunak dan sistem terpusat untuk melacak dan membagikan informasi ini di seluruh DoD Enterprise.
SBOM adalah manifes digital yang mencantumkan bahan -bahan paket perangkat lunak – setiap komponen, versi, dan ketergantungan. Mereka memberi tim cybersecurity konteks yang diperlukan untuk bertindak cepat ketika kerentanan muncul. Membutuhkan SBOM akan memungkinkan Pentagon untuk melacak ancaman dan menentukan risiko dalam hitungan menit daripada jam atau hari.
Manfaatnya tidak hipotetis. Saat LOG4Shell Kerentanan melanda pada tahun 2021, organisasi dengan SBOM segera mengidentifikasi paparan mereka terhadap perpustakaan Log4J yang dikompromikan. Entitas tanpa mereka diacak, menyisir secara manual melalui basis kode dan daftar vendor. Penundaan semacam itu tidak hanya tidak efisien dalam pengaturan pertahanan – itu adalah bencana. Negara lain juga mengakui hal ini. IndiaMisalnya, telah secara eksplisit mendukung persyaratan SBOM dalam pengadaan sektor publik, sedangkan Inggris Pemerintah telah secara terbuka mengakui manfaat SBOM untuk menelusuri kerentanan dalam komponen cyber.
Meskipun SBOM memberikan transparansi ke dalam komponen suatu produk, mereka tidak sepenuhnya menunjukkan apakah kerentanan yang diberikan dapat dieksploitasi. Itulah sebabnya Pentagon harus melengkapi SBOM dengan VDR dari pengembang asli produk untuk membuat tekad itu. Ketika para peneliti menemukan kerentanan dalam potongan -potongan komponen perangkat lunak, hanya produser yang memiliki keahlian untuk mengkonfirmasi apakah kerentanan mempengaruhi produk mereka. Mirip dengan bagaimana inspeksi rumah menyeluruh mengungkapkan potensi bahaya atau a Persimpangan empat jalan Laporan melacak masalah dengan mobil, VDR adalah dokumen dinamis yang merinci kelemahan yang diketahui atau masalah dengan produk perangkat lunak. Akibatnya, VDR sama pentingnya untuk penilaian risiko perangkat lunak yang efektif seperti SBOM.
Selain itu, SBOM dan VDR menghemat waktu dan uang. Mereka mengurangi pengujian yang berlebihan, mempercepat respons insiden, dan membantu tim akuisisi memverifikasi bahwa apa yang mereka dapatkan aman. Biaya implementasi di muka kecil dibandingkan dengan kerusakan yang dapat disebabkan oleh pelanggaran, tidak hanya dalam dolar tetapi dalam dampak misi.
Kebijakan DoD sudah mendukung prinsip -prinsip di balik SBOM dan VDR. SWP mendorong pengujian berkelanjutan dan pemeriksaan keamanan otomatis. Pesanan Eksekutif 14028 Mengarahkan lembaga federal untuk meningkatkan keamanan rantai pasokan perangkat lunak dan memungkinkan mereka untuk meminta SBOM dari vendor, terutama untuk perangkat lunak penting, sebagai bagian dari praktik pengembangan dan pengadaan yang lebih aman. Bimbingan dari Kantor Manajemen dan Anggaran negara bagian Pemasok perangkat lunak harus memastikan tidak ada kerentanan yang dapat dieksploitasi yang diketahui hadir dalam perangkat lunak yang dirilis ke pasar, persyaratan yang digemakan di dalam Undang -Undang Ketahanan Cyber EU dan perangkat lunak aman CISA Formulir Pengesahan. Itu Buku Panduan Tes dan Evaluasi Cybersecurity DoDPetunjuk 2024 Angkatan Darat tentang Transparansi Perangkat Lunak dan panduan Dari Institut Nasional Standar dan Teknologi memperkuat arah ini. Yayasan ada di sana, tetapi rekomendasi yang diuraikan di sini perlu dipraktikkan.
Untuk melakukan itu secara efektif, Pentagon juga membutuhkan rencana untuk mengelola informasi yang diperolehnya dari SBOM dan VDR. Jika setiap kantor DOD atau unit militer menyimpan artefak ini dalam sistem yang terpisah, masalah visibilitas tidak akan hilang. Sebaliknya, DoD membutuhkan repositori terpusat, platform umum di mana tim di seluruh departemen dapat mengakses SBOM, VDR, dan pengesahan lainnya untuk menginformasikan keputusan, melacak risiko dan menghindari duplikasi.
Kemampuan itu sudah ada. Repositori CISA untuk Pengesahan Perangkat Lunak dan Artefak (RSAA) Portal Memberikan penyimpanan terpusat dan aman untuk SBOM dan artefak terkait, termasuk VDRS, dapat diakses oleh semua lembaga pemerintah AS. Memanfaatkan RSAA sebagai sumber daya di seluruh pemerintah tidak memerlukan infrastruktur atau biaya baru, dan dapat berfungsi sebagai tulang punggung untuk upaya transparansi perangkat lunak yang bergerak maju.
Kecepatan sangat penting. Kecepatan tanpa wawasan dan keamanan adalah pertaruhan. Ketika Pentagon berlomba untuk memodernisasi akuisisi perangkat lunaknya, ia harus melakukannya dengan pengetahuan yang jelas tentang apa yang beroperasi. Solusi yang diusulkan di sini mudah diimplementasikan, hemat biaya dan akan memajukan rantai pasokan aman yang layak untuk misi yang didukungnya.
Georgianna “George” Shea adalah kepala teknolog di Foundation for Defense of Demokrasi tentang inovasi cyber dan teknologi dan lab inovasi cyber transformatifnya. Dia berada di garis depan inovasi keamanan siber dengan hampir 30 tahun pengalaman perintis di seluruh sektor federal dan komersial.
