Dans le cadre d’un effort continu pour vous tenir informé de nos derniers travaux, ce billet de weblog résume certaines publications récentes du SEI dans les domaines de confiance zéro, DevSecOps, systèmes critiques pour la sécurité, résilience logicielleet adoption du nuage. Ces publications mettent en lumière les derniers travaux des technologues SEI dans ces domaines. Cet article comprend une liste de chaque publication, auteur(s) et liens où ils peuvent être consultés sur le web site Net de SEI.
Zero Belief Business Day 2022 : domaines de recherche future
de Matthew Nicolai, Trista Polaski et Timothy Morrow
En août 2022, le SEI a organisé la Journée de l’industrie Zero Belief 2022 pour permettre aux events prenantes de l’industrie de partager des informations sur la mise en œuvre de la confiance zéro (ZT). Lors de l’événement, les members se sont concentrés sur la manière dont les agences fédérales disposant de ressources limitées peuvent mettre en œuvre une structure de confiance zéro (ZTA) qui respecte les décrets exécutifs M-22-009 et M-21-31qui traitent tous deux des mesures fédérales de cybersécurité.
Au cours de ces discussions, les members ont identifié des problèmes liés au ZT qui pourraient bénéficier de recherches supplémentaires. En se concentrant sur ces domaines, les organisations gouvernementales, universitaires et industrielles peuvent collaborer pour développer des options qui rationalisent et accélèrent les efforts de transformation ZTA en cours. Dans cet article, nous discutons de certains de ces domaines de recherche potentiels.
Lire le livre blanc.
Votre pipeline DevSecOps fonctionne-t-il uniquement comme prévu ?
par Timothy Chick
Il est difficile de comprendre et d’articuler le risque de cybersécurité. Avec l’adoption d’outils et de methods DevSecOps et le couplage accru entre le produit en cours de development et les outils utilisés pour le construire, la floor d’attaque du produit proceed de croître en incorporant des segments de l’environnement de développement. Ainsi, de nombreuses entreprises craignent que les faiblesses du pipeline DevSecOps puissent être exploitées pour injecter des vulnérabilités exploitables dans leurs produits et providers.
À l’aide de l’ingénierie des systèmes basée sur des modèles (MBSE), un modèle DevSecOps peut être construit qui prend en compte l’assurance du système et permet aux organisations de concevoir et d’exécuter une stratégie DevSecOps entièrement intégrée dans laquelle les besoins des events prenantes sont traités avec la cybersécurité dans tous les features du pipeline DevSecOps. Un cas d’assurance peut être utilisé pour montrer l’adéquation du modèle à la fois pour le pipeline et pour le système embarqué ou distribué. Alors que les constructeurs de systèmes embarqués et distribués souhaitent atteindre la flexibilité et la rapidité attendues lors de l’software de DevSecOps, des paperwork de référence et un processus défendable reproductible sont nécessaires pour confirmer qu’un pipeline DevSecOps donné est mis en œuvre de manière sécurisée, sûre et sturdy. Dans ce webcast, Tim Chick explique remark l’utilisation d’un modèle DevSecOps peut être construite à l’aide de MBSE.
Voir la webdiffusion.
Gestionnaires de programme : le pipeline DevSecOps peut fournir des données exploitables
de Julie Cohen et Invoice Nichols
Cet article de Julie Cohen et Invoice Nichols décrit remark le projet de recherche Automated Steady Estimation for a Pipeline of Pipelines (ACE/PoPs) du Software program Engineering Institute peut aider les gestionnaires de programme (PM) à tirer parti des environnements de développement de logiciels DevSecOps existants pour automatiser la collecte de données et intégrer les coûts, le calendrier et les performances d’ingénierie. Grâce à ces informations, les PM peuvent suivre, prévoir et afficher la development du programme.
Lire le livre blanc.
Un outil basé sur un modèle pour la conception de systèmes critiques pour la sécurité
par Sam Proter et Lutz Wrage
Dans ce podcast SEI, Sam Procter et Lutz Wrage discutent avec Suzanne Miller du Guided Structure Commerce House Explorer (GATSE), un nouvel outil basé sur des modèles développé par SEI pour aider à la conception de systèmes critiques pour la sécurité. L’outil GATSE permet aux ingénieurs d’évaluer plus d’choices de conception en moins de temps qu’ils ne le peuvent actuellement. Ce prototype d’extension de langage et d’outil logiciel automatise partiellement le processus d’ingénierie des systèmes basés sur des modèles afin que les ingénieurs système puissent rapidement explorer des combinaisons de différentes choices de conception.
Écouter/voir le podcast SEI.
Lire Article de weblog de Sam Procterqui fournit une explication method de l’outil GATSE.
Meilleures pratiques de l’industrie pour l’structure Zero-Belief
par Matthew Nicolai, Nathaniel Richmond, Timothy Morrow
Ce doc décrit les meilleures pratiques identifiées lors de la Journée de l’industrie Zero Belief 2022 du SEI et suggest des moyens d’aider les organisations à passer au Zero Belief (ZT). Dans cet article, les auteurs décrivent certaines des meilleures pratiques ZT identifiées au cours de l’atelier de deux jours et fournissent des commentaires et des analyses SEI sur les moyens pour les organisations de renforcer leurs transformations ZT.
L’événement de 2022 a fourni un scénario permettant aux events prenantes de l’industrie de réagir et de démontrer remark elles résoudraient les problèmes pratiques lorsqu’une agence fédérale adopte ZT. En conséquence, le SEI a identifié plusieurs thèmes et les meilleures pratiques correspondantes présentées par ces events prenantes qui aident les organisations gouvernementales à planifier leur parcours ZT. Les présentateurs de l’événement ont présenté diverses options qui pourraient résoudre les nombreux défis communs auxquels sont confrontés les organismes fédéraux avec des ressources limitées et des architectures de réseau complexes, comme décrit dans le scénario.
Leurs idées devraient également aider toutes les organisations gouvernementales à mieux comprendre les views des différents fournisseurs et de l’industrie ZT dans son ensemble et remark ces views s’intègrent dans les efforts globaux du gouvernement fédéral. Chez SEI, nous sommes convaincus que les informations tirées de la Journée de l’industrie SEI Zero Belief 2022 aideront les organisations à évaluer le paysage actuel des fournisseurs et à se préparer à leur transformation ZT.
Lire le livre blanc SEI.
Acquisition Safety Framework (ASF) : gestion des risques liés à la cybersécurité des systèmes
par Christopher J.Alberts, Michael S.Bandor, Charles M. Wallen, Carol Woody, Ph.D.
Le cadre de sécurité d’acquisition (ASF) est un ensemble de pratiques exemplaires pour la development et l’exploitation de systèmes dépendants des logiciels sécurisés et résilients tout au lengthy du cycle de vie des systèmes. Il permet aux programmes d’évaluer les risques et les lacunes dans leurs processus d’acquisition, d’ingénierie et de déploiement de systèmes sécurisés dépendants des logiciels et fournit aux programmes plus de visibilité et de contrôle sur leurs chaînes d’approvisionnement. L’ASF fournit une feuille de route pour renforcer la sécurité et la résilience dans un système plutôt que de les « verrouiller » après le déploiement. Le cadre est conçu pour aider les programmes à coordonner la gestion des risques d’ingénierie et de la chaîne d’approvisionnement à travers les nombreux composants d’un système, y compris le matériel, les interfaces réseau, les interfaces logicielles et les capacités de mission. Les pratiques d’ASF favorisent un dialogue proactif entre toutes les équipes de programmes et de fournisseurs, aidant à intégrer les canaux de communication et à faciliter le partage d’informations. Le cadre est conforme à l’ingénierie de la cybersécurité, à la gestion de la chaîne d’approvisionnement et aux directives de gestion des risques de l’Organisation internationale de normalisation (ISO), du Nationwide Institute of Requirements and Expertise (NIST) et du Division of Homeland Safety (DHS). Ce rapport présente un aperçu de l’ASF et de son état d’avancement. Il comprend également une description des pratiques qui ont été développées jusqu’à présent et décrit un plan pour compléter l’ensemble des travaux d’ASF.
Lire la observe method SEI.
UN Ensemble prototype de facteurs de risque d’adoption du cloud
par Christopher J. Alberts
Ce rapport présente les résultats d’une étude que le SEI a menée pour identifier un prototype d’ensemble de facteurs de risque pour l’adoption des applied sciences infonuagiques. Ces facteurs de risque couvrent un massive éventail de problèmes potentiels pouvant affecter une initiative cloud, notamment la stratégie et les processus commerciaux, la gestion et la mise en œuvre de la technologie et la tradition organisationnelle.
La publication de ce rapport est une première étape dans le développement des facteurs de risque d’adoption du cloud plutôt que l’aboutissement des travaux de SEI dans ce domaine. Ce rapport identifie une gamme de futures tâches potentielles de développement et de transition liées au diagnostic de risque de mission (MRD) pour l’adoption du cloud.
La méthode SEI MRD définit une approche rapide et axée sur la mission pour évaluer les risques dans les fils de mission, les processus métier et les initiatives organisationnelles.
Lire le livre blanc SEI.
Une stratégie pour les gammes de produits de composants : Rapport 1 : Portée, objectifs et justification
par Sholom G. Cohen, John J. Hudak, John McGregor, Gabriel Moreno, Alfred Schenker
Il s’agit du premier d’une série de trois rapports décrivant la stratégie complète de la gamme de produits de composants. Il comprend une approche d’adoption qui contribue à la réalisation de la imaginative and prescient d’entreprise et à la réutilisabilité. Ce rapport est complété par des rapports portant sur la modélisation et la gouvernance pour une réutilisation systématique.
Aujourd’hui, les composants sont conçus et développés pour être intégrés dans un système d’arme spécifique. Pour atteindre les objectifs de l’approche modulaire des systèmes ouverts, les composants doivent être conçus et développés pour être intégrés dans plusieurs systèmes d’armes. Ce premier rapport définit une stratégie pour réaliser des gammes de produits à composants multiples à l’appui des systèmes d’armes militaires. Le rapport donne un aperçu des gammes de produits du côté de l’acquéreur, remark spécifier les capacités de la gamme de produits, fournir ces modèles de spécification de gamme de composants (CPLSM) à une communauté de fournisseurs et créer un marché de composants.
Lire le file spécial SEI.
Lignes directrices sur le développement de défis pour les concours de cybersécurité
par Jarrett Booz, Leena Arora, Joseph Vessella, Matt Kaar, Dennis M. Allen et Josh Hammerstein
Les concours de cybersécurité offrent aux members un moyen d’apprendre et de développer des compétences methods pratiques, et ils servent à identifier et à récompenser les praticiens de la cybersécurité talentueux. Ils font également partie d’un effort plus vaste et à multiples facettes visant à garantir que le pays dispose d’une main-d’œuvre hautement qualifiée en cybersécurité pour sécuriser ses systèmes d’infrastructure critiques et se défendre contre les cyberattaques. Pour aider à soutenir ces efforts visant à cultiver les compétences des praticiens de la cybersécurité et à constituer une main-d’œuvre pour protéger la nation, ce doc s’appuie sur l’expérience du Software program Engineering Institute en matière de développement de défis en matière de cybersécurité pour le Concours de cybersécurité Coupe du Président et fournit des lignes directrices à utilization général et les meilleures pratiques pour développer des défis de cybersécurité efficaces.
Lire le rapport method SEI.
