美國國防部考慮鼓勵供應商報告漏洞
[聯邦計算機週刊網站2019年4月25日報道] 防部希望其技術在交付過程中不妥協。然而供應鏈安全卻存在一些障礙,包括缺乏來自供應商的關於潛在漏洞的資料。
2019年4月24日,在供應鏈安全戰略與國際研究中心活動上,美國國防安全域性(DSS)反間諜局長William
Stephens表示,“不妥協”意味著在向作戰部隊提供技術能力時,沒有“關鍵資訊和技術有意或無意地丟失、被盜、被拒絕、降級或不當贈送或出售”的情況。他補充說,或是即使出現了這些情況,至少能夠解釋其原因。
DSS負責監督與美國國防部合作進行機密專案的行業合作伙伴。Stephens希望儘早從這些供應商那裡獲取潛在的不利資訊,即使這意味著要向公司支付獎勵以確保資訊的準確性。
該機構的工作內容有很多。DSS每年收到約5萬份報告,需認真調查約8000份反間諜情報。Stephens說,在過去兩年,報告絕大多數都是關於網路和人類活動的混合報告:16%是純網路報告,30%是純人類報告,54%是兩者兼而有之。他說,這意味著只關注網路或情報聯絡“是一件危險的事情”。
他說,在報告活動方面,“工業界做得很好”——15%的供應商報告了反間諜機構感興趣的資訊,並且四分之一的供應商做了相關的報告。但這仍然不夠:DSS需要大約三倍的供應商報告資料,使資料具有統計意義,因此需要激勵承包商報告。
他說:“我們面臨的挑戰是,如果我們真的想真正實現挑戰的深度和廣度,我們就必須採取激勵措施。如果激勵措施是正確的,它們就會奏效。”(工業和資訊化部電子第一研究所