ไทย
ค้นหา
กลับไปหน้าคลังความรู้ทั้งหมด

NIST for SUPPLY CHAIN SOFTWARE

ช่วงนี้ข่าวการโจมตี Supply Chain มีอยู่เรื่อย ๆ และทวีความรุนแรงมากยิ่งขึ้น

เนื่องด้วยการโจมตีตรง ๆ หาองค์กรใหญ่ ๆ นั้นเริ่มทำได้ยากขึ้นและใช้เวลานาน รวมไปถึงเมื่อโจมตีได้แล้วบางทีข้อมูลที่ได้มาอาจจะไม่คุ้มกับระยะเวลาที่เสียไป การโจมตีในลักษณะนี้จึงมีมากขึ้นเรื่อย ๆ 

จึงเป็นที่มาทำให้ NIST ต้องอัปเดตคำแนะนำเรื่องนี้เพิ่มขึ้น โดยสรุปมีดังนี้

1.) สื่อสารกับผู้ให้บริการซอฟต์แวร์ในมุมของความมั่นคงปลอดภัยด้วยการอ้างอิงกับ Secure Software Development Framework (SSDF)

2.) ผู้พัฒนาจะต้องมีหลักฐานว่าซอฟต์แวร์ได้ถูกพัฒนามาตาม Best Practice ด้านความมั่นคงปลอดภัย

3.) ผู้ใช้งานซอฟต์แวร์สามารถยอมรับหลักฐานในการปฏิบัติตาม SSDF ของผู้พัฒนาได้ เว้นเสียแต่ว่ามีความจำเป็นที่จะต้องประเมินความเสี่ยงเพิ่มจากหน่วยงานอื่น ๆ

4.) ขอหลักฐานการปฏิบัติตาม Best Practice แบบ High-level เพราะทำให้เห็นภาพรวมได้ดีกว่า

สามารถอ่านเพิ่มเติมได้ที่ https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/draft 

Comments
Write a Comment Close Comment Form