NI提供以下资源,助力您的团队满足CMMC要求。
LOV提供易失性和非易失性存储器位置列表,以及清除这些存储器位置的说明。NI为多数NI硬件产品提供了LOV。可通过ni.com/docs或ni.com/ Letters-of-volatility中的产品文档获取LOV。
SBOM提供了软件应用安装和使用的完整软件列表。SBOM为最终用户单独提供了一份了解软件所用组件的文档。该列表可在发现漏洞时加速系统检查,从而尽快实施应对计划。
NI为软件产品生成SBOM,用于识别组件中的漏洞并在必要时管理更新。出于安全考虑,NI不会公开这些SBOM。如需NI软件产品的SBOM,请联系security@ni.com,我们将与您讨论相关选项。
免费(Libre)开源软件(FOSS或FLOSS)可能会对最终用户产生某些使用或许可限制。NI软件可能包含开源软件,因此NI将努力遵守该软件的所有许可条款。软件许可证(开源和非开源)副本在安装后可在Program Files(x86)\National Instruments\_Legal Information\文件夹中获取。NI的SBOM还可用于跟踪许可证信息。
软件开发人员可能需要执行静态代码分析以识别易受攻击的组件和不安全的编码实践。市场上有许多基于文本的静态代码分析工具可供选择。然而,LabVIEW的图形化编程环境对这些工具提出了独特的挑战。
为满足对LabVIEW兼容工具的需求,部分用户使用LabVIEW附带的VI Analyzer。VI Analyzer扫描的是代码质量实践而非安全问题。然而,二者密切相关,VI Analyzer有助于识别使LabVIEW VI安全性降低的代码问题。
为使静态分析工具更加完整,JKI制作了名为J-Crawler的全面静态分析工具。该工具可生成完整SBOM(包括LabVIEW开发人员添加的代码组件),并查找降低LabVIEW代码安全性的常见代码问题。关于J-Crawler的更多信息,请访问http://jki.net
NI提供指导,帮助客户配置产品,以增强其安全功能。点击下方链接获取文档,以最安全的方式使用NI产品:
NI发布了一份合规指南,详细说明了这些产品如何满足NIST 800-171的要求,或为满足这些要求最终用户需要采取的操作。如需获取以下合规指南,可发送邮件至security@ni.com:
美国防御讯息系统局(DISA)在public.cyber.mil/stigs/上维护着一份安全技术实施指南(STIG)数据库。DISA会在发布STIG前与供应商合作了解产品情况并批准STIG。
NI正与DISA合作发布不同产品的STIG。在完成LabVIEW的STIG流程后,DISA认为LabVIEW不需要STIG,因为最终用户使用LabVIEW构建的应用才是安全配置的主要所在。作为LabVIEW的STIG替代方案,请使用上述列出的安全配置指南。
随着DISA批准并发布更多STIG,我们将更新此文档并添加链接。
Linux®的使用获得了Linus Torvalds专属授权商LMI的再授权,Linus Torvalds拥有Linux®注册商标在全球范围内的所有权。