XiaoMi-AI文件搜索系统
World File Search System软件保障
国防部软件保障开发人员指南
软件保障是指有理由相信软件在整个产品生命周期内按预期运行且没有漏洞。虽然“没有漏洞”是理想状态,但实际上目标是管理与漏洞相关的风险。为此,本指南帮助软件开发人员了解对软件保障的期望。由于开发人员需要了解其项目所处的监管背景,本指南总结了影响软件保障决策的标准和要求,并提供了开发人员应参考的关键资源的指示。它包括软件漏洞检测、测试和评估最新资源 (SOAR) 报告的摘要,以及其选择工具的方法。还提供了一种自下而上的工具选择方法,该方法考虑了在开发或产品生命周期的不同阶段通常适合哪些活动和工具。提供了针对特殊生命周期考虑因素(例如新开发和系统再造)的建议,并讨论了在开发过程中选择和应用工具或技术可能有用的指标。专门章节介绍了软件维持和软件采购的保障。附录中提供了补充材料。
软件保障指导和评估 (SAGE) 工具
1.3 软件保障计划确定了团队将采取的步骤,以确保“在整个生命周期中,软件能够按预期运行,并且不存在有意或无意设计或作为软件一部分插入的漏洞” [软件保障定义,P.L. 112-239 § 933, 2013]。6 有时,软件保障计划是总体程序保护计划 (PPP) 文档中的一个部分。无论是 PPP 内部的一个部分还是其自己的文档,软件保障计划都应包括防止漏洞在系统中持续存在的对策。应根据明确的定义对安全关键系统和组件进行识别和分类,该定义确定了系统或组件安全关键性的原因。应根据通用漏洞枚举 (CVE ® )、7 通用弱点枚举 (CWE ™ )、8 通用攻击模式枚举和分类 (CAPEC ™ ) 9 和 CERT 规则和建议对这些组件和系统进行评估。10 存在弱点的安全组件和系统的解决方案或缓解策略应记录在软件保证计划中。在整个生命周期中,参考软件保证计划非常重要,以确保记录的步骤得到实施、准确且相关,以适当避免漏洞,并且不会产生负面影响
软件保障路线图 - NDIA 会议论文集
• 关键技术领域 – 有效采用领域 o 可信人工智能和自主性 o 集成网络系统 o 微电子 o 空间技术 o 可再生能源发电和存储 o 先进计算和软件 o 人机界面 – 新兴机遇的种子领域 o 生物技术 o 量子科学 o 未来一代无线技术 (FutureG) o 先进材料 – 国防专用领域 o 定向能 o 高超音速 o 集成传感和网络
NSTAC 向总统提交的软件保障报告 - CISA
鉴于关键基础设施中软件的使用和依赖日益增加,本报告确定了几个需要紧急采取行动的领域。为了解决这些领域,总统应该成立一个工作组,负责制定一项公私合作计划,重点关注软件保证和软件供应链的关键领域。与之前在 NIST 网络安全框架 (CSF) 3 上的公私合作努力一样,此类计划可以解决激励机制的根本错位、保证方法的多样性以及软件供应链的复杂性。这种性质的努力可以将迫切的行动需求转化为可实施的框架。
2025 年 1 月 28 日星期二星期三......
政府企业消费者软件采购指南:网络供应链风险管理 (C-SCRM) 生命周期中的软件保障 Katie Willers,CISA Tim Mackey,Black Duck Jon Amis,LMI
Microsoft 开放协议 - 许可学校
如果您是希望按使用量付费的企业、学术机构、政府或非营利组织,那么 Open License 是您的不二之选。由于您按需付费,因此您可以获得最大的灵活性,以适应组织日益增长和变化的业务需求。您必须至少首次购买五个软件许可证才能获得 Open License 协议,但您可以在两年协议期限内随时通过 Open License 购买任意数量的其他许可产品。许多在线服务(例如 Office 365)没有最低初始购买要求。软件保障可以在购买许可证时购买,并且权益将在协议授权号到期时终止。为了最大程度地延长软件保障的权益期,Open License 客户可以作为新订单订购软件保障(而不是作为现有授权号下的额外购买)。
软件生命周期中的安全性 - SEI 数字图书馆
对信息技术的依赖使得软件保障成为业务连续性、国家安全和国土安全的关键要素。软件漏洞危及知识产权、消费者信任、业务运营和服务以及广泛的关键应用程序和基础设施,包括从过程控制系统到商业应用产品的一切。关键资产的完整性取决于支持和控制这些资产的软件的可靠性和安全性。然而,知情的消费者越来越担心缺乏具备构建安全软件所需能力的从业人员。他们担心供应商是否有能力构建和交付具有所需完整性级别的安全软件,以及是否能够采取最低限度的负责任的做法。由于软件开发提供了插入恶意代码和无意中设计和构建具有可利用漏洞的软件的机会,因此需要增强安全性的流程和实践(以及执行这些流程和实践的熟练人员)来构建可以信赖的软件,而不会增加风险暴露。
软件生命周期中的安全性 - SEI 数字图书馆
对信息技术的依赖使软件保障成为业务连续性、国家安全和国土安全的关键要素。软件漏洞危及知识产权、消费者信任、业务运营和服务以及广泛的关键应用程序和基础设施,包括从过程控制系统到商业应用产品的一切。关键资产的完整性取决于启用和控制这些资产的软件的可靠性和安全性。然而,知情的消费者越来越担心缺乏具备构建安全软件所需能力的从业人员。他们担心供应商是否有能力构建和交付具有所需完整性级别的安全软件,以及是否有能力实施最低限度的负责任做法。由于软件开发提供了插入恶意代码和无意中设计和构建具有可利用漏洞的软件的机会,因此需要增强安全性的流程和实践(以及执行这些流程和实践的熟练人员)来构建可以信任的软件,而不会增加风险暴露。
第三营和丹佛
莫斯利中校曾任俄亥俄州赖特帕特森空军基地 B-1B 系统项目办公室数字通信改进部门的 B-1 合同经理和项目经理;阿拉巴马州冈特空军基地商业企业系统空军生命周期管理中心应用软件保障项目经理和货物移动操作系统项目经理;犹他州希尔空军基地洲际弹道导弹系统项目办公室机载程序训练器项目经理;阿富汗东巴格拉姆地区承包司令部应急行动项目经理;希尔空军基地洲际弹道导弹系统项目办公室部队发展评估项目经理;阿拉巴马州麦克斯韦空军基地空军指挥参谋学院第 21 学生中队的学术讲师和顾问兼作战主任;麦克斯韦空军基地斯帕茨教育中心和空中战争学院执行官;华盛顿特区五角大楼空军采购执行科助理部长战略系统和指挥、控制、通信、情报和网络项目分析科科长;位于德克萨斯州圣安东尼奥联合基地的第 37 训练联队第 37 训练支援中队指挥官;驻韩国汉弗莱斯营美军 COVID 行动科长;冈特空军基地商业企业系统空军生命周期管理中心商业企业产品创新解决方案中心科长。
传记 - 关岛安德森空军基地
Michael J. Parrish 少校是关岛安德森空军基地第 36 维修中队的指挥官。Maj Parrish 领导着 11 个空军专业部队的 120 名指定和最多 180 名部署的现役、预备役和承包商人员。他负责为 ISR、打击、战斗机、机动和瞬变飞机提供支持的途中、中间和离机维护。此外,他还负责监督太平洋空军最大的航空航天地面设备战争储备物资舰队的准备情况,以及在印度太平洋司令部演习和区域及全球事件行动期间规划、接待和雇用后备维修人员。Maj. Parrish 于 2011 年毕业于加州州立大学圣贝纳迪诺分校预备役军官训练团 002 支队,并因此获得任命。在接任指挥之前,Maj Parrish 与中队的作战总监合影。此前,他被指派到太空系统司令部特别项目局,负责为空军部和其他国防和情报机构开发和交付先进太空、网络和电子战能力。Maj Parrish 是一名完全合格的采购官,专攻网络和频谱领域。他曾驻扎在欧洲、美国大陆,并被派往世界各地支持各种行动、应急和危机。教育 2011 年,加州州立大学圣贝纳迪诺分校,工商管理学士学位 2016 年,安伯顿大学,德克萨斯州加兰市,工商管理硕士学位 2016 年,喷气发动机事故调查课程,德克萨斯州谢泼德空军基地。2017 年 中队军官学校,阿拉巴马州麦克斯韦空军基地 2020 年 飞机事故调查课程,新墨西哥州柯特兰空军基地 2021 年 空军指挥参谋学院,函授 任务 1.2011 年 9 月 - 2013 年 10 月,项目经理,应用软件保障卓越中心 (ASACoE),商业与企业系统理事会,阿拉巴马州麦克斯韦空军基地。 2.2013 年 10 月 - 2015 年 7 月,项目经理,货物移动操作系统 (CMOS),商业与企业系统理事会,阿拉巴马州麦克斯韦空军基地。(2015 年 2 月 - 3 月,科威特阿里夫詹营) 3.2015 年 7 月 - 2015 年 10 月,学生,飞机维修军官学校,德克萨斯州谢泼德空军基地4.2015 年 11 月 - 2017 年 5 月,维护行动飞行指挥官,第 352 特种作战维护组,皇家空军米尔登霍尔,英国 5.2017 年 6 月 - 2018 年 11 月,CV-22 飞机维护单位负责人,第 752d 特种作战维护中队,皇家空军米尔登霍尔,英国(各种应急)6。2018 年 12 月 - 2021 年 7 月,网络部门负责人,先进技术部门,特别项目理事会,洛杉矶空军基地,加利福尼亚州(2019 年 7 月至 8 月新西兰 & 2020 年 12 月 - 2021 年 7 月科威特阿里阿尔萨勒姆空军基地)