สมาคมอุตสาหกรรม 4 แห่งกำลังยกธงแดงเหนือบทบัญญัติในร่างกฎหมายอนุญาตการป้องกันปีงบประมาณ 2023 ที่พวกเขากล่าวว่าอาจทำให้เกิดความสับสนทั่วทั้งรัฐบาลและขัดแย้งกับความพยายามด้านความปลอดภัยในโลกไซเบอร์ในปัจจุบันAlliance for Digital Innovation, Software Alliance, Cybersecurity Coalition และ Information Technology Industry Association
ได้เขียนจดหมายถึงหน่วยงานด้านอาวุธและผู้นำกำกับดูแลของสภาผู้
แทนราษฎรและวุฒิสภา โดยแสดงความกังวลเกี่ยวกับมาตรา 6722 ซึ่งมีข้อกำหนดเกี่ยวกับการจัดการความเสี่ยงด้านห่วงโซ่อุปทานของซอฟต์แวร์ DHS ที่รวมอยู่ในเวอร์ชัน House ของ สพป.
บทบัญญัติกำหนดให้กระทรวงความมั่นคงแห่งมาตุภูมิออกคำแนะนำสำหรับสัญญาใหม่และปัจจุบันทั้งหมดที่กำหนดให้ผู้ขายต้องจัดเตรียม “รายการวัสดุที่ใช้สำหรับสัญญาดังกล่าว ตามคำร้องขอของเจ้าหน้าที่ดังกล่าว และการรับรองและการแจ้งเตือน” ที่ส่งรายการวัสดุนั้นปราศจากช่องโหว่หรือข้อบกพร่องที่ทราบทั้งหมดที่ส่งผลกระทบต่อความปลอดภัยของผลิตภัณฑ์หรือบริการขั้นสุดท้าย โดยเฉพาะอย่างยิ่งที่อยู่ในฐานข้อมูลช่องโหว่ที่ดำเนินการโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ และความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน หน่วยงาน.
สมาคมกล่าวว่าบทบัญญัติ “มีขอบเขตไม่เพียงพอและไม่ได้คำนึงถึงความพยายามในการบริหารปัจจุบันเกี่ยวกับรายการวัสดุซอฟต์แวร์ (SBOMs) หรือความพร้อมของซัพพลายเออร์ซอฟต์แวร์และผู้บริโภครวมถึงลูกค้าภาครัฐในการใช้ประโยชน์จาก SBOMs”
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล
เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
สมาคมยังกล่าวอีกว่าความคลุมเครือของบทบัญญัติจะนำไปสู่ปัญหา
“ตามที่ร่างไว้ การแก้ไขไม่ชัดเจนว่ารายการวัสดุนั้นจำกัดเฉพาะซอฟต์แวร์หรือส่วนประกอบทั้งหมด การขยายตัวที่นอกเหนือไปจากซอฟต์แวร์นั้นไม่สอดคล้องกับความพยายามในการจัดการที่มีอยู่ ไม่สามารถทำได้จริง และทำให้เกิดความท้าทายในการดำเนินการเพิ่มเติม” จดหมายระบุ “นอกจากนี้ ย่อหน้า (จ) ของการแก้ไขระบุข้อกำหนดที่ขัดแย้งกันเกี่ยวกับการรับรองและการแจ้งเตือน ในกรณีหนึ่ง บทบัญญัติต้องการการรับรองว่ารายการใน BOM ปราศจากช่องโหว่หรือข้อบกพร่อง และในอีกกรณีหนึ่ง บทบัญญัติต้องการแผนการบรรเทาช่องโหว่ที่ระบุทั้งหมด”
สมาคมยังกล่าวด้วยว่า OMB พัฒนาแนวทาง SBOM ความพยายามทางกฎหมายใด ๆ จะเกิดขึ้นก่อนเวลาอันควร
“ในที่สุด SBOM จะไม่บรรลุยูทิลิตี้ที่ต้องการสำหรับหน่วยงาน ณ จุดนี้ เนื่องจากขาดมาตรฐาน” จดหมายระบุ “คณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ล่าสุดของ DHS ทบทวนเหตุการณ์ Log4j เดือนธันวาคม 2021 ระบุว่า SBOMs มีจำนวนจำกัดในปัจจุบัน โดยมีความแตกต่างในคำอธิบายฟิลด์และไม่มีข้อมูลเวอร์ชัน สิ่งนี้เน้นย้ำถึงความจำเป็นในการทำงานเพิ่มเติมเพื่อรวมคำแนะนำเกี่ยวกับโครงสร้างและการสร้าง SBOM และการกำหนดมาตรฐานของกระบวนการสำหรับการเผยแพร่ การนำเข้า และการใช้ SBOM สิ่งเหล่านี้มีความสำคัญต่อผู้ขายในการสร้าง SBOM ที่ใช้งานได้ และสำหรับรัฐบาลและผู้ซื้อรายอื่น ๆ เพื่อใช้ผลลัพธ์อย่างมีประสิทธิภาพ”
บทบัญญัติขาดความชัดเจนผู้เชี่ยวชาญคนอื่น ๆ ยอมรับว่าข้อกำหนดนี้ผิดพลาด
credit: ronaldredito.org cheapcustomsale.net trinitycafe.net faultyvision.net luxurylacewigsheaven.net norpipesystems.com devrimciproletarya.info derrymaine.net tomsbuildit.org taboocartoons.net
