权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
美国国家标准与技术研究所基于网络行政命令,为软件供应链项目设定参数
2022-11-16

20221111日报道】美国国家标准与技术研究所(NIST)的国家网络安全卓越中心(NCCoE)披露了一个即将开展的项目,该项目基于DevSecOps实施方法来保护软件供应链。

2022119日,美国国家网络安全卓越中心发布了一份项目概况出版物,表示:“为了帮助提高DevOps实践的安全性,国家网络安全卓越中心正在计划一个DevSecOps项目,该项目最初将专注于开发和记录一种基于风险的应用方法以及安全DevOps和软件供应链实践的建议,这些建议与安全软件开发框架(SSDF)、网络安全供应链风险管理(C-SCRM)和其他美国国家标准与技术研究所、政府和行业指南保持一致。”

该出版物称:“该项目将在概念验证的用例场景中应用这些DevSecOps实践,每个用例场景都将针对一种技术、编程语言和行业部门。将使用闭源(专有)和开源技术来演示这些用例。该项目将产出一个免费的国家标准与技术研究所网络安全实践指南。”

2021年发布的网络行政命令的第四部分赋予美国国家标准与技术研究所多项责任,为确保软件供应链安全提供指导。该机构更新了安全软件开发框架以满足行政命令中的要求,同时还更新了关于行政命令关键软件、软件验证、软件材料清单、“强化供应商风险评估”、开源控制和漏洞管理的指导。

这项工作也与美国国家标准与技术研究所特别出版物800-161相一致,该出版物是一份网络供应链风险管理的基础指南。

20229月,管理和预算办公室(OMB)指示各机构根据一份正式备忘录将安全软件开发框架作为采办流程的一部分。

美国国家网络安全卓越中心项目将为各机构建立成功的DevSecOps实践提供基本DevSecOps概念的定义和关键元素。项目描述为:“该指南还将为所有机构提供一种方法来记录他们当前的DevSecOps实践,并定义他们未来的目标实践,作为他们持续改进过程的一部分。”

美国国家网络安全卓越中心将在“未来几个月”在《联邦公报》上发布通知,征求潜在项目合作者的意向书。

美国国家标准与技术研究所正在安排多个研究项目,以测试该标准机构开发的概念,包括一个专注于制造业、研究操作技术如何从网络攻击中恢复的项目,以及一个管理和减轻人工智能偏见的项目。(国家工业信息安全发展研究中心 刘彧宽)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2023 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354