NI proporciona estos recursos para ayudar a su equipo a cumplir con los requisitos de CMMC.
Las LOVs proporcionan una lista de ubicaciones de memoria volátiles y no volátiles, con instrucciones para borrar esas ubicaciones de memoria. NI proporciona LOVs para la mayoría de los productos de hardware NI. Los LOVs están disponibles con documentos del producto en ni.com/docs, o en ni.com/letters-of-volatility.
Los SBOMs proporcionan una lista completa del software instalado y utilizado por una aplicación de software. Un SBOM proporciona a un usuario final un único documento para comprender los componentes utilizados en el software. Esta lista puede acelerar las comprobaciones del sistema cuando se descubre una vulnerabilidad para que un plan de reacción pueda ponerse en marcha lo más rápido posible.
NI genera SBOMs para productos de software y los utilizamos para identificar vulnerabilidades en los componentes y para administrar actualizaciones cuando sea necesario. Por razones de seguridad, NI no publica estos SBOMs públicamente. Si necesita un SBOM para un producto de software de NI, comuníquese con security@ni.com y discutiremos opciones con usted.
El software libre (Libre) de código abierto (FOSS o FLOSS) puede incurrir en ciertas restricciones de uso o licencia para los usuarios finales. El software de NI puede contener software de código abierto, y NI trabaja para cumplir con todos los términos de licencia de ese software. Las copias de las licencias de software (de código abierto y no abierto) están disponibles después de la instalación en la carpeta Program Files(x86)\National Instruments\_Legal Information\. Los SBOMs de NI también se pueden usar para rastrear la información de licencia.
Los desarrolladores de software pueden necesitar análisis de código estático para identificar componentes vulnerables y prácticas de codificación no seguras. Muchas herramientas de análisis de código estático están disponibles en el mercado para herramientas basadas en texto. Sin embargo, el entorno de programación gráfica de LabVIEW presenta un desafío único para estas herramientas.
Para satisfacer esta necesidad de una herramienta compatible con LabVIEW, algunos usuarios utilizan VI Analyzer incluido con LabVIEW. VI Analyzer busca prácticas de calidad de código, no problemas de seguridad. Pero estos están estrechamente vinculados y VI Analyzer puede ayudar a identificar problemas de código que hacen que un LabVIEW VI sea menos seguro.
Para una herramienta de análisis estático más completa, JKI hace una herramienta de análisis estático con todas las funciones llamada J-Crawler. Esta herramienta puede generar un SBOM completo incluyendo componentes de código agregados por el desarrollador LabVIEW, y busca los problemas de código más comunes que hacen que el código LabVIEW sea menos seguro. Para más información sobre J-Crawler visite http://jki.net
NI proporciona orientación para ayudar a los clientes a configurar los productos para mejorar las características de seguridad de los productos. Siga estos enlaces para obtener documentos que le ayudarán a utilizar los productos de NI de la manera más segura posible:
Para algunos productos, NI publica una guía de cumplimiento que detalla cómo estos productos cumplen con los requisitos de NIST 800-171, o qué acciones debe tomar como usuario final para cumplirlos. Las siguientes guías de cumplimiento están disponibles a petición de los usuarios a security@ni.com:
La Agencia de Sistemas de Información de Defensa de los Estados Unidos (DISA) mantiene una base de datos de guías de implementación de tecnología segura (STIG) en public.cyber.mil/stigs/. Antes de publicar un STIG, DISA trabaja con el proveedor para entender el producto y aprobar el STIG.
NI está trabajando con DISA para publicar STIG para diferentes productos. Después de trabajar a través del proceso STIG para LabVIEW, DISA determinó que LabVIEW no requiere un STIG porque el usuario final construye una aplicación usando LabVIEW, y esa aplicación es donde reside la mayoría de las configuraciones seguras. En lugar de un STIG para LabVIEW, utilice la guía de configuración segura indicada anteriormente.
A medida que DISA apruebe y publique STIG adicionales, actualizaremos este documento con enlaces.
Linux® se utiliza conforme a una sublicencia otorgada por LMI, el licenciatario exclusivo de Linus Torvalds, propietario de la marca en todo el mundo.