सॉफ्टवेयर आपूर्ति श्रृंखला

From alpha
Jump to navigation Jump to search

एक सॉफ़्टवेयर आपूर्ति श्रृंखला किसी सॉफ़्टवेयर आर्टिफैक्ट को विकसित करने, बनाने और प्रकाशित करने के लिए उपयोग किए जाने वाले घटकों, पुस्तकालयों, उपकरणों और प्रक्रियाओं से बनी होती है।[1] सॉफ़्टवेयर विक्रेता अक्सर खुला स्रोत सॉफ्टवेयर|ओपन-सोर्स और वाणिज्यिक सॉफ़्टवेयर घटकों को असेंबल करके उत्पाद बनाते हैं। सामग्री का एक सॉफ्टवेयर बिल[2] (एसबीओएम) एक सॉफ्टवेयर एप्लिकेशन जैसे सॉफ्टवेयर आर्टिफैक्ट बनाने के लिए उपयोग किए जाने वाले घटकों की सूची घोषित करता है।[3] यह खाद्य पैकेजिंग पर सामग्री की एक सूची के समान है: जहां आप उन खाद्य पदार्थों से बचने के लिए लेबल से परामर्श ले सकते हैं जो एलर्जी प्रतिक्रिया का कारण बन सकते हैं, एसबीओएम संगठनों या व्यक्तियों को ऐसे सॉफ़्टवेयर की खपत से बचने में मदद कर सकते हैं जो उन्हें नुकसान पहुंचा सकते हैं।

आपूर्ति श्रृंखला प्रबंधन के हिस्से के रूप में सामग्रियों के बिल की अवधारणा पारंपरिक विनिर्माण में अच्छी तरह से स्थापित है।[4] एक निर्माता उत्पाद बनाने के लिए उपयोग किए जाने वाले भागों को ट्रैक करने के लिए सामग्रियों के बिल का उपयोग करता है। यदि बाद में किसी विशिष्ट भाग में दोष पाए जाते हैं, तो सामग्रियों के बिल से प्रभावित उत्पादों का पता लगाना आसान हो जाता है।

उपयोग

एक एसबीओएम किसी सॉफ्टवेयर उत्पाद के निर्माता (निर्माता) और खरीदार (ग्राहक) दोनों के लिए उपयोगी है। उत्पाद बनाने के लिए बिल्डर्स अक्सर उपलब्ध ओपन-सोर्स और तृतीय-पक्ष सॉफ़्टवेयर घटकों का लाभ उठाते हैं; एसबीओएम बिल्डर को यह सुनिश्चित करने की अनुमति देता है कि वे घटक अद्यतित हैं और नई कमजोरियों पर तुरंत प्रतिक्रिया देते हैं।[5] खरीदार एसबीओएम का उपयोग भेद्यता (कंप्यूटिंग) या लाइसेंस विश्लेषण करने के लिए कर सकते हैं, दोनों का उपयोग किसी उत्पाद में जोखिम का मूल्यांकन करने के लिए किया जा सकता है।

जबकि कई कंपनियां सामान्य बीओएम प्रबंधन के लिए स्प्रेडशीट का उपयोग करती हैं, स्प्रेडशीट में लिखे गए एसबीओएम में अतिरिक्त जोखिम और मुद्दे होते हैं। एसबीओएम को तब अधिक मूल्य प्राप्त होता है जब सामूहिक रूप से एक रिपॉजिटरी में संग्रहीत किया जाता है जो अन्य स्वचालन प्रणालियों का हिस्सा हो सकता है, जिसे अन्य अनुप्रयोगों द्वारा आसानी से पूछताछ की जा सकती है। स्वचालित एसबीओएम प्रसंस्करण की इस आवश्यकता को सॉफ्टवेयर पैकेज डेटा एक्सचेंज|सॉफ्टवेयर पैकेज डेटा एक्सचेंज (एसपीडीएक्स) ओपन मानक द्वारा संबोधित किया गया है।

सॉफ़्टवेयर की आपूर्ति श्रृंखला को समझना, एसबीओएम प्राप्त करना और ज्ञात कमजोरियों का विश्लेषण करने के लिए इसका उपयोग करना जोखिम प्रबंधन में महत्वपूर्ण है।[6][7][8]


विधान

2014 का साइबर आपूर्ति श्रृंखला प्रबंधन और पारदर्शिता अधिनियम[9] अमेरिकी कानून था जिसमें सरकारी एजेंसियों को उनके द्वारा खरीदे जाने वाले किसी भी नए उत्पाद के लिए एसबीओएम प्राप्त करने की आवश्यकता का प्रस्ताव था। इसके लिए संयुक्त राज्य सरकार द्वारा उपयोग में आने वाले किसी भी सॉफ्टवेयर, फर्मवेयर या उत्पाद के लिए एसबीओएम प्राप्त करना भी आवश्यक होगा। हालाँकि यह अंततः पारित नहीं हुआ, लेकिन इस अधिनियम ने सरकार में जागरूकता लाई और बाद में इंटरनेट ऑफ़ थिंग्स साइबर सुरक्षा सुधार अधिनियम 2017 जैसे कानून को प्रेरित किया।[10][11] राष्ट्र की साइबर सुरक्षा में सुधार पर 12 मई, 2021 का अमेरिकी कार्यकारी आदेश[12] सॉफ्टवेयर आपूर्ति श्रृंखला की सुरक्षा बढ़ाने के लिए कई विषयों के संबंध में मानकों, प्रक्रियाओं या मानदंडों को शामिल करने के लिए राष्ट्रीय मानक और प्रौद्योगिकी संस्थान को 90 दिनों के भीतर मार्गदर्शन जारी करने का आदेश दिया गया है, जिसमें खरीदार को प्रत्येक के लिए सामग्री का सॉफ्टवेयर बिल (एसबीओएम) प्रदान करना शामिल है। उत्पाद। राष्ट्रीय दूरसंचार और सूचना प्रशासन के लिए 60 दिनों के भीतर एसबीओएम के लिए न्यूनतम तत्व प्रकाशित करना भी अनिवार्य था।

एनटीआईए न्यूनतम तत्व 12 जुलाई, 2021 को प्रकाशित किए गए थे।[13] और सॉफ्टवेयर आपूर्ति श्रृंखला में अधिक पारदर्शिता के लिए एसबीओएम उपयोग के मामलों का भी वर्णन करता है, और भविष्य के विकास के लिए विकल्प बताता है। न्यूनतम तत्वों में तीन व्यापक श्रेणियां शामिल हैं: डेटा फ़ील्ड (प्रत्येक सॉफ़्टवेयर घटक के बारे में आधारभूत जानकारी), स्वचालन समर्थन (मशीन और मानव-पठनीय प्रारूपों में एसबीओएम उत्पन्न करने की क्षमता), और अभ्यास और प्रक्रियाएं (संगठनों को कैसे और कब एसबीओएम उत्पन्न करना चाहिए) ). स्वचालन समर्थन आवश्यकता स्वचालित पीढ़ी की आवश्यकता को निर्दिष्ट करती है, जो सॉफ़्टवेयर संरचना विश्लेषण (एससीए) समाधानों के उपयोग से संभव है।[14]


यह भी देखें

संदर्भ

  1. "For Good Measure Counting Broken Links: A Quant's View of Software Supply Chain Security" (PDF). USENIX ;login. Retrieved 2022-07-04.
  2. "सामग्री का सॉफ्टवेयर बिल". ntia.gov. Retrieved 2021-01-25.
  3. "[Part 2] Code, Cars, and Congress: A Time for Cyber Supply Chain Management". Retrieved 2015-06-12.
  4. "Code, Cars, and Congress: A Time for Cyber Supply Chain Management". Retrieved 2015-06-12.
  5. "सामग्री का सॉफ़्टवेयर बिल बौद्धिक संपदा प्रबंधन में सुधार करता है". Embedded Computing Design. Retrieved 2015-06-12.
  6. "तृतीय पक्ष सेवा और उत्पाद प्रदाताओं के लिए उपयुक्त सॉफ़्टवेयर सुरक्षा नियंत्रण प्रकार" (PDF). Docs.ismgcorp.com. Retrieved 2015-06-12.
  7. "Top 10 2013-A9-Using Components with Known Vulnerabilities". Retrieved 2015-06-12.
  8. "आपूर्ति श्रृंखला में साइबर सुरक्षा जोखिम" (PDF). Cert.gov.uk. Retrieved 2020-07-28.
  9. "H.R.5793 - 113th Congress (2013-2014): Cyber Supply Chain Management and Transparency Act of 2014 - Congress.gov - Library of Congress". 4 December 2014. Retrieved 2015-06-12.
  10. "Internet of Things Cybersecurity Improvement Act of 2017" (PDF). Retrieved 2020-02-26.
  11. "Cybersecurity Improvement Act of 2017: The Ghost of Congress Past". 17 August 2017. Retrieved 2020-02-26.
  12. "राष्ट्र की साइबर सुरक्षा में सुधार पर कार्यकारी आदेश". The White House. 2021-05-12. Retrieved 2021-06-12.
  13. "सॉफ़्टवेयर सामग्री बिल (एसबीओएम) के लिए न्यूनतम तत्व". NTIA.gov. 2021-07-12. Retrieved 2021-12-12.
  14. "एनटीआईए सामग्री के सॉफ़्टवेयर बिल के लिए न्यूनतम तत्व जारी करता है". NTIA.gov. 2021-07-12. Retrieved 2022-03-22.
Retrieved from "https://alpha.indicwiki.in/index.php?title=सॉफ्टवेयर_आपूर्ति_श्रृंखला&oldid=291426"