NI 提供這些資源,可協助您的團隊符合 CMMC 規定。
LOV 提供波動性與非波動性記憶體位置清單,以及清除這些記憶體位置的說明。NI 為多數 NI 硬體產品提供 LOV。您可造訪 ni.com/docs 或 ni.com/letters-of-volatility 取得 LOV 與產品文件。
SBOM 提供隨軟體應用程式安裝並由其使用的完整軟體清單。SBOM 會為終端使用者提供單一文件,助其了解軟體所用的元件。當發現漏洞時,此清單可加快系統檢查速度,以儘快執行行動計畫。
NI 會針對軟體產品建立 SBOM,並使用這些 SBOM 來識別元件的漏洞,以及在必要時管理更新。基於安全考量,NI 不公開 SBOM。如需 NI 軟體產品的 SBOM,請聯絡 security@ni.com,我們會與您討論各種選項。
免費 (自由) 及開放原始碼軟體 (FOSS 或 FLOSS) 可能會對終端使用者施加某些使用或授權限制。NI 軟體可能包含開放原始碼軟體,而 NI 致力於遵守所有軟體授權條款。軟體授權 (開放原始碼與非開放原始碼) 安裝後,可在 Program Files (x86)\National Instruments\_Legal Information\ 資料夾中取得副本。NI 的 SBOM 也可用來追蹤授權資訊。
軟體開發人員可能需要執行靜態程式碼分析,以識別有漏洞的元件與不安全的編碼做法。市面上有許多靜態程式碼分析工具,可適用於文字架構工具。然而,LabVIEW 的圖形化程式設計環境卻對這些工具提出一項獨特挑戰。
為使工具與 LabVIEW 相容,部分使用者會使用 LabVIEW 隨附的 VI Analyzer。VI Analyzer 掃描關乎程式碼品質,非關安全問題。但兩者仍有緊密關聯,且 VI Analyzer 有助於找出讓 LabVIEW VI 變得不安全的程式碼問題。
如需更完整的靜態分析工具,可使用 JKI 推出的完整功能靜態分析工具 J-Crawler。此工具可建立完整的 SBOM,包含由 LabVIEW 開發人員新增的程式碼元件,並找出讓 LabVIEW 程式碼變得較不安全的常見程式碼問題。如需 J-Crawler 詳細資訊,請造訪 http://jki.net
NI 提供指南,協助客戶設定產品,提升產品的安全功能。請透過下列連結取得相關文件,以協助您以最安全的方式使用 NI 產品:
NI 會為部分產品發布符合性指南,詳細說明這些產品是否符合 NIST 800-171 規定,或是您作為終端使用者需要採取哪些行動才能符合這些規定。如需以下產品的符合性指南,請寄送電子郵件至 security@ni.com:
美國國防資訊系統局 (DISA) 擁有安全技術實作指南 (STIG) 資料庫,位於 public.cyber.mil/stigs/。DISA 發布 STIG 前會與供應商合作,以了解產品並核准 STIG。
NI 與 DISA 合作發布不同產品用 STIG。完成 LabVIEW 的 STIG 開發流程後,DISA 確認 LabVIEW 不需要 STIG,因為終端使用者使用 LabVIEW 建構應用程式,而這項應用程式是多數安全設定所在位置。如需取代適用於 LabVIEW 的 STIG,請使用上述安全設定指南。
隨著 DISA 核准並發布更多 STIG,我們將在此文件中添加相關連結。
Linux® 係根據 LMI 的轉授權許可使用,Linus Torvalds 持有此商標在全球的擁有權,LMI 則取得了 Linus Torvalds 的獨家授權。