NI met ces ressources à disposition pour aider votre équipe à répondre aux exigences du CMMC.
Les LOV fournissent une liste des emplacements de mémoire volatile et non volatile, ainsi que les instructions permettant de les effacer. NI propose des LOV pour la plupart des produits matériels de la marque. Les LOV sont disponibles avec la documentation produit sur ni.com/docs, ou sur ni.com/letters-of-volatility.
Les SBOM fournissent une liste complète des logiciels installés et utilisés par une application donnée. La SBOM fournit est un document unique permettant à l’utilisateur de connaître les composants utilisés dans le logiciel. En cas d’identification d’une vulnérabilité, cette liste permet d’accélérer les vérifications système. Vous pourrez ainsi mettre en œuvre un plan de réaction le plus rapidement possible.
NI met des SBOM à disposition pour les produits logiciels. Nous les utilisons pour identifier les vulnérabilités des composants et gérer les mises à jour si nécessaire. Pour des raisons de sécurité, NI ne met pas ces SBOM à la disposition du public. Si vous avez besoin d’un SBOM pour un produit logiciel de NI, contactez security@ni.com et nous discuterons des possibilités avec vous.
Le cadre Free (Libre) Open Source Software (FOSS ou FLOSS) peut s’accompagner de certaines restrictions d'utilisation ou de licence pour les utilisateurs finaux. Les logiciels NI contiennent parfois des logiciels open source. NI s'efforce de respecter toutes les conditions de licence de ces logiciels. Des copies des licences logicielles (open source et non open source) sont disponibles après installation dans le dossier Program Files(x86)\National Instruments\_Legal Information\. Les SBOM de NI contiennent également des informations sur les licences.
Les développeurs de logiciels doivent parfois effectuer une analyse de code statique pour identifier les composants vulnérables et les pratiques de codage non sécurisées. Il existe de nombreux outils d'analyse de code statique pour les outils textuels. Cependant, l'environnement de programmation graphique de LabVIEW présente un défi unique pour ces outils.
Pour contourner ce problème de compatibilité des outils, certains utilisateurs utilisent l'Analyseur de Vis inclus avec LabVIEW. Mais l'Analyseur de Vis recherche les pratiques de qualité du code, pas les problèmes de sécurité. Toutefois, ceux-ci sont étroitement liés et l'Analyseur de Vis peut permettre d’identifier les problèmes de code impactant la sécurité d’un VI LabVIEW.
J-Crawler est un outil d’analyse statique exhaustif développé par JKI. Cet outil permet de générer un SBOM complet incluant les composants de code ajoutés par le développeur LabVIEW. Il recherche également les problèmes de code les plus courants qui impactent la sécurité du code LabVIEW. Pour en savoir plus sur J-Crawler, consultez http://jki.net
NI apporte ses conseils pour accompagner les clients dans la configuration des produits afin d’améliorer leurs fonctionnalités de sécurité. Suivez ces liens pour obtenir des documents qui vous aideront à utiliser les produits NI de la manière la plus sécurisée possible :
Pour certains produits, NI publie un guide de conformité détaillant les modalités de leur conformité à la norme NIST 800-171, ainsi que les actions vous devez entreprendre en tant qu’utilisateur final pour gérer ces aspects. Les guides de conformité suivants sont disponibles sur demande sur security@ni.com :
La Defense Information Systems Agency (DISA) des États-Unis maintient une base de données de guides de mise en œuvre de technologies sécurisées (STIG) à l’adresse suivante : public.cyber.mil/stigs/. Avant de publier un STIG, la DISA travaille avec le fournisseur pour comprendre le produit et approuver le document.
NI travaille avec la DISA afin de publier des STIG pour différents produits. Après avoir suivi le processus du STIG, la DISA a déterminé qu’il n’était pas nécessaire de produire un tel guide pour LabVIEW. En effet, l'utilisateur final construit une application utilisant LabVIEW, et c'est dans cette application que réside la plupart des configurations sécurisées. Référez-vous plutôt au guide de configuration sécurisée listé ci-dessus.
Nous mettrons à jour ce document et ses liens lors de l’approbation de nouveaux STIG et de leur publication par la DISA.
La marque Linux® est utilisée selon les termes d’une sous-licence de LMI, le détenteur exclusif de la licence de Linus Torvalds, propriétaire de la marque au niveau mondial.