แต่มันขึ้นอยู่กับ จะมีบางกรณีที่หากเอเจนซีตัดสินใจใส่ทรัพยากรจำนวนมากลงในผลิตภัณฑ์เดียวอย่างแท้จริง ซอฟต์แวร์ชิ้นเดียวที่พวกเขาตัดสินใจว่ามีความเสี่ยงสูงมาก พวกเขาอาจทำผลงานได้ค่อนข้างดี แต่พวกเขาสามารถปรับขนาดให้ทุกอย่างในเอเจนซี่ได้หรือไม่? และพวกเขามีความเข้าใจเกี่ยวกับรูปแบบความเสี่ยงที่แท้จริงหรือไม่? น่าเสียดาย ทอม ความรู้สึกของฉันคือคำตอบว่าไม่ใช่ เพราะสิ่งนี้พร้อมกับคำแนะนำอื่นๆ ทั้งหมดที่ออกมาจากทำเนียบขาว จากสำนักงานการจัดการและงบประมาณ
จาก CIO ของรัฐบาลกลาง และ CISO ของรัฐบาลกลาง
ทั้งหมดที่ดีและมีเจตนาดี แต่ไม่มีทรัพยากรที่เกี่ยวข้องกับมัน นั่นทำให้เราอยู่ในจุดที่แย่จริงๆ
Tom Temin:นั่นเป็นเรื่องเก่า ฉันเดา เรากำลังพูดคุยกับ Gordon Bitko รองประธานอาวุโสฝ่ายนโยบายของ Information Technology Industry Council เรามาเริ่มกันที่สมาชิกของคุณ ผู้จำหน่ายซอฟต์แวร์ ผู้ค้าปลีก ผู้รวมระบบ บริษัทที่ซื้อขายซอฟต์แวร์ พวกเขาควรทำอย่างไรเพื่อให้แน่ใจว่าพวกเขาสามารถปฏิบัติตามข้อกำหนดที่เอเจนซี่กำหนดอย่างจริงจัง จากคำแนะนำของทำเนียบขาวหรือไม่
กอร์ดอน บิตโก:สิ่งที่เราอยากเห็นทอมโดยทั่วไปมากที่สุด โดยไม่คำนึงว่าบริษัทใดเป็นสมาชิกของเรา คือการเจรจาต่อไประหว่างภาคอุตสาหกรรมและรัฐบาลเพื่อระบุรายละเอียดจำนวนมากที่เราได้พูดถึง ความไม่แน่นอนเหล่านี้เกี่ยวกับวิธีรายงาน SBOMs และวิธีติดตามเวอร์ชันต่างๆ และสิ่งที่แต่ละหน่วยงานต้องทำเพื่อตัดสินความสำคัญ จริงๆแล้วสิ่งเหล่านี้คือสิ่งที่จะได้รับบริการที่ดีที่สุด ฉันรู้ว่ามันต้องใช้เวลา แต่เราจะให้บริการได้ดีที่สุดโดยการสนทนาที่สร้างสรรค์ ในขณะเดียวกัน บริษัทสมาชิกทั้งหมดของเรา ผมมั่นใจว่าบริษัทเหล่านี้มีแนวปฏิบัติด้านซอฟต์แวร์ที่ดีในปัจจุบัน และสิ่งที่พวกเขาต้องการ สิ่งที่พวกเขาต้องการทำคือความสามารถในการสาธิตและสาธิตให้เห็นในรูปแบบจริง ,
ทอม เทมิน:ใช่ หน่วยงานต่างๆ จึงไม่ได้ออกเอกสารคำแนะนำในการปฏิบัติตามนี้อย่างแท้จริง นั่นอาจเป็นจุดเริ่มต้นที่ดี และบางทีเอกสารการปฏิบัติตามข้อกำหนดอาจเหมือนกันทั่วทั้งรัฐบาล
Gordon Bitko:นั่นคือความหวังอย่างแน่นอน มีการกล่าวถึง
ในคำแนะนำของ OMB ว่า FAR Council กำลังจะพิจารณากรณีที่ต้องการแบบฟอร์มและกระบวนการรับรองที่เหมือนกัน มันจะดีมาก. ทอม เราทุกคนทราบดีว่ากระบวนการกำกับดูแลสำหรับกฎข้อบังคับเกี่ยวกับอัคคีภัยใหม่อาจใช้เวลานาน และนั่นเป็นปัญหาที่แท้จริง มีความรู้สึกเร่งด่วนที่นี่ แต่ในขณะเดียวกัน หากเราปล่อยให้แต่ละหน่วยงานทำเรื่องของตัวเอง เท่ากับว่าเราวางเกวียนไว้ข้างหน้าม้า เราจะได้รับคำตอบที่แตกต่างกันมากมายสำหรับคำถามเดียวกัน แทนที่จะเป็นหน่วยงานและอุตสาหกรรมที่ทำงานร่วมกัน
ทอม เทมิน:และบันทึกได้มอบหมายอำนาจ โดยกล่าวว่า CIO จะต้องทำสิ่งนี้ Chief Acquisition Officer ควรทำเช่นนั้น CISA มีบทบาท OMB มีบทบาท และอื่นๆ อีกมากมาย คำถามคือ จากประสบการณ์ของคุณ คุณรู้ไหมว่าสิ่งเหล่านี้เกิดขึ้นได้อย่างไรในช่วงหลายทศวรรษที่ผ่านมา บ่อยครั้งคำแนะนำไม่ได้ลงเอยที่เจ้าหน้าที่ทำสัญญาในแนวหน้าที่นั่น คุณเข้าใจหรือไม่ว่าบางทีพวกเขาอาจ ต้องถูกดึงเข้ามาเพราะนั่นคือข้อกำหนดที่วางเอาไว้
Gordon Bitko:ไม่ต้องสงสัยเลยว่ายางจะสัมผัสกับพื้นถนนในงานรับเหมาจริง สิ่งหนึ่งที่เราสนับสนุนจากมุมมองของอุตสาหกรรมบ่อยครั้งคือกระบวนการทำสัญญาไม่ควรขึ้นอยู่กับเจ้าหน้าที่ทำสัญญาเพียงอย่างเดียว แต่ควรเป็นทีมที่บูรณาการจริงๆ: ความปลอดภัย ผู้จัดการโปรแกรม เจ้าของธุรกิจ นักเทคโนโลยี เจ้าหน้าที่ผู้ทำสัญญาทุกคนทำงานร่วมกัน ด้วยวิธีนี้เราจะไม่มีอีก หลังจากที่เราพร้อมที่จะทำสัญญา ข้อกำหนดใหม่สำหรับการพัฒนาซอฟต์แวร์ที่ปลอดภัยนี้ไม่ได้เป็นส่วนหนึ่งของการสนทนา
Tom Temin:ใช่ เพราะโดยเฉพาะอย่างยิ่งเจ้าของโปรแกรมที่มีบริการดิจิทัลเหล่านี้ทั้งหมด และประสบการณ์ของลูกค้า และทั้งหมดนี้นำไปสู่ซอฟต์แวร์ใหม่ๆ มากมาย คุณคิดว่าเหนือสิ่งอื่นใด พวกเขาต้องการให้แน่ใจว่า เฮ้ ทุกคน ไม่ว่าคุณจะให้อะไรก็ตาม ฉัน ฉันไม่ต้องการให้แฮ็คหรืออะไรซักอย่าง
credit : shortstoryoflifeandstyle.com proyectoscpc.net helendraperyoung.com riavto.org partysofa.net sierracountychamber.net matsudatoshiko.net learnlanguagefromluton.net movabletypo.net coachfactoryoutletusa.net
