Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

SR-04(04) - Intégrité de la chaîne d’approvisionnement – Pedigree   (PcEE)


Énoncés :

Employer [Affectation : contrôles définis par l’organisation] et procéder à [Affectation : analyse définie par l’organisation] pour assurer l’intégrité du système ou des composants de systèmes en validant la composition interne et la provenance des technologies, des produits et des services critiques ou essentiels à la mission.

Paramètres :

Responsable : Aucun

Discussion :

L’information faisant autorité en ce qui concerne la composition interne des composants de systèmes et la provenance de la technologie, des produits et des services constitue une base de confiance solide. La validation de la composition interne et de la provenance des technologies, des produits et des services est ce qu’on appelle le « pedigree ». En microélectronique, cela comprend la composition matérielle des composants. Pour les logiciels, cela comprend la composition du code de source ouverte et du code propriétaire, notamment la version du composant à un moment précis. Les pedigrees renforcent l’assurance que les revendications formulées par les fournisseurs concernant la composition interne et la provenance des produits, des services et des technologies sont bel et bien valides. La validation de la composition interne et de la provenance peut être réalisée au moyen des divers artéfacts ou dossiers de preuve que les fabricants et les fournisseurs produisent au cours de la recherche et du développement, de la conception, de la fabrication, de l’acquisition, de la livraison, de l’intégration, de l’exploitation, de la maintenance et de l’élimination de la technologie, des produits et des services. Les artéfacts de preuve comprennent, sans s’y limiter, les étiquettes d’identification des logiciels, les indicateurs, l’inventaire des composants logiciels, les déclarations des fabricants sur les attributs des plateformes (par exemple, les numéros de série, l’inventaire des composants matériels) et les mesures (par exemple, les codes de hachage des micrologiciels) qui sont étroitement liées au matériel à proprement dit.