ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงแผนกรักษาความปลอดภัยแห่งมาตุภูมิมี Car Wash และตอนนี้ SWAMP เพื่อทำความสะอาดซอฟต์แวร์ของหน่วยงานจากสิ่งสกปรกด้านความปลอดภัยในโลกไซเบอร์ Software Assurance Marketplace (SWAMP)เป็นความพยายามล่าสุดในการปรับปรุงคุณภาพและความน่าเชื่อถือของแอพที่ทำงานบนเครือข่ายตัวแทน
“เรากำลังมองหาเครื่องมือวิเคราะห์ซอฟต์แวร์จริงๆ และโดยเฉพาะ
อย่างยิ่งเครื่องมือวิเคราะห์แบบสแตติกและไดนามิก ดังนั้น เราจึงให้ทุนสนับสนุนงานในการพัฒนาเครื่องมือใหม่ๆ สำหรับการวิเคราะห์ซอฟต์แวร์ จุดที่ SWAMP เข้ามาคือตลาดของนักพัฒนาเครื่องมือ” Doug Maughan ผู้อำนวยการแผนกความปลอดภัยทางไซเบอร์ของ DHS’ Science and Technology Directorate กล่าวในการสัมภาษณ์พิเศษกับ Federal News Radio “หากคุณนึกถึงนักพัฒนาเครื่องมือในปัจจุบัน พวกเขาอาจทดสอบชุดซอฟต์แวร์ของตนด้วยเครื่องมือเดียว พวกเขาอาจจะ. ไม่ใช่ทุกคนที่ทำ ดังนั้นสิ่งที่เรากำลังทำใน SWAMP คือการสร้างสภาพแวดล้อมที่นักพัฒนาซอฟต์แวร์หรือผู้ที่ได้รับซอฟต์แวร์จากที่อื่นแต่ต้องการทดสอบและตรวจสอบความถูกต้อง และสิ่งที่มีอยู่ใน SWAMP คือเครื่องมือจำนวนหนึ่ง บางส่วนเป็นโอเพ่นซอร์ส บางส่วนเราได้ให้ทุน เรายังมีผู้จำหน่ายเชิงพาณิชย์หลายรายที่ได้นำเทคโนโลยีเชิงพาณิชย์ของตนมาใส่ใน SWAMP ตอนนี้ฉันในฐานะนักพัฒนาซอฟต์แวร์สามารถเรียกใช้ซอฟต์แวร์ของฉันกับเครื่องมือจำนวนมากได้ เพราะเครื่องมือทุกตัวจะทำการวิเคราะห์แตกต่างกัน ถ้าฉันใช้มันกับเครื่องมือที่แตกต่างกัน 10 ชนิด มันจะเป็นการวิเคราะห์ที่ดีกว่าถ้าฉันใช้มันกับเครื่องมือเพียงตัวเดียว”
เขากล่าวว่านักพัฒนาเครื่องมือซอฟต์แวร์ก็ได้รับประโยชน์เช่นกัน เพราะยิ่งใช้เครื่องมือของพวกเขามากเท่าไหร่ พวกเขาก็ยิ่งสามารถฝึกฝนได้ดีขึ้นเท่านั้น
“ไม่เพียงแต่เราจะสามารถปรับปรุงคุณภาพของซอฟต์แวร์ที่กำลังเขียนได้เท่านั้น
ตอนนี้เรายังสามารถปรับปรุงคุณภาพของเครื่องมือที่กำลังพัฒนาได้ เพราะตอนนี้ฉันสามารถวิเคราะห์เกี่ยวกับเครื่องมือ A กับเครื่องมือ B และเครื่องมือ C และให้ข้อมูลนั้นกลับไปทั้งแบบเปิด จัดหาชุมชนหรือผู้ขายและช่วยพวกเขาปรับปรุงคุณภาพของเครื่องมือ” Maughan กล่าว DHS S&T และสำนักงานโครงการวิจัยขั้นสูงเพื่อความมั่นคงแห่งมาตุภูมิ (HSARPA) ให้ทุนสนับสนุนการสร้างSWAMPโดยสถาบัน Morgridge เพื่อการวิจัยที่มหาวิทยาลัยวิสคอนซิน แมดิสัน
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
การรับประกันซอฟต์แวร์เป็นหนึ่งในปัญหาทางไซเบอร์ที่ยากที่สุดที่รัฐบาลต้องเผชิญในปัจจุบัน สำนักงานความรับผิดชอบของรัฐบาลพบในรายงานปี 2012ว่าการติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ที่มีมัลแวร์หรือโค้ดที่มีข้อบกพร่องเป็นหนึ่งในความเสี่ยงที่ใหญ่ที่สุดที่เกี่ยวข้องกับซัพพลายเชนด้านไอที
ในเดือนมิถุนายน สถาบันมาตรฐานและเทคโนโลยีแห่งชาติได้ออกแนวทางการจัดการความเสี่ยงด้านห่วงโซ่อุปทานฉบับที่ 2 ในเอกสารเผยแพร่พิเศษ 800-161 NIST กล่าวว่าแนวทางปฏิบัติพื้นฐานประการหนึ่งคือเพื่อให้แน่ใจว่าหน่วยงานต่างๆ มีกระบวนการควบคุมคุณภาพซอฟต์แวร์ที่มีประสิทธิภาพ
ผู้ใช้ที่ลงทะเบียนใน SWAMP เท่านั้น
ความท้าทายสำหรับหลายหน่วยงานคือการมีค่าใช้จ่ายและความเชี่ยวชาญที่จำเป็นในการตั้งค่ากระบวนการที่มีประสิทธิภาพนี้ Maughan กล่าวว่า DHS สามารถช่วย SWAMP ได้
“ไม่มีค่าใช้จ่ายใดๆ เป็นโครงสร้างพื้นฐานการวิจัยที่เรามอบให้กับชุมชนสำหรับการทดสอบและประเมินซอฟต์แวร์ ดำเนินการมาประมาณเจ็ดเดือนแล้ว และเราดำเนินการประเมินโดยเฉลี่ยแล้วประมาณ 700 ครั้งต่อสัปดาห์สำหรับชุดซอฟต์แวร์ที่มีให้ใช้งาน” เขากล่าว “เรามีผู้ใช้ที่ลงทะเบียนมากถึง 350 รายที่ใช้ SWAMP ซึ่งเป็นการผสมผสานระหว่างภาครัฐ สถาบันการศึกษา และอุตสาหกรรม และเราเชื่อว่ามันจะยังคงเติบโตต่อไปเมื่อมีคนเริ่มใช้ SWAMP และเราจะดำเนินการต่อไป ปรับปรุงโครงสร้างพื้นฐานเพื่อรองรับชุมชน”
Maughan กล่าวว่า DHS และพันธมิตรตรวจสอบผู้ใช้ที่ส่งเครื่องมือรับประกันซอฟต์แวร์หรือผู้ใช้ที่ส่งแอปผ่าน SWAMP
ในเวลาเดียวกัน เขากล่าวว่าแพลตฟอร์มดังกล่าวมีสถาปัตยกรรมความปลอดภัยที่ทำให้มั่นใจได้ว่ากระบวนการประเมินชื่อซอฟต์แวร์จะไม่ผิดปกติ
“เราอยากจะคิดว่าเราได้เตรียมการและออกแบบมาอย่างดีพอที่หากคุณเป็นคนเลวที่พยายามทำวิศวกรรมย้อนกลับระบบ เราจะสามารถตรวจจับพฤติกรรมของคุณและหยุดไม่ให้คุณทำเช่นนั้นได้” เขา
