Setting the stage
A small commercial software firm specializing in applications software security won a Small Business Innovation Research (SBIR) program Phase I contract from a defense agency about ten months ago to validate algorithms that detected and protected software binaries against reverse engineering attacks. The SBIR program fosters commercialization of products that government agencies need through a three-phase program. Phase I validates feasibility. Phase II is aimed at proof of concept, while Phase III pursues commercialization with private sector support.
Reverse engineering attacks attempt to disassemble the binaries to develop a replica of the software design so that those interested in it can understand the software logic and data structures, build better competing software products, and/or find and exploit vulnerabilities in the future. The customer viewed the firm’s recently completed $100,000, six-month, SBIR Phase I contract as successful. Because of this, the firm’s Phase II proposal for a $1 million, two-year effort to build a prototype toolset that enables the firm to prove its concept by automating its process for inserting the protection into the executable has been accepted. The firm hopes to use the prototype to convince others of the potential of the concept. It is currently negotiating a contract for the new Phase II effort with the agency’s buyer. The award process was put on the fast-track because the firm was able to attract matching funds of $500,000 from a larger software house specializing in software security. All that this firm wanted for its investment was rights of first refusal for the commercialization of the technology. With the government contract award, the total funding for the effort will therefore be $1.5 million.
This is a big win for this small firm. Its largest contract in the past was its Phase I award of $100,000. This award was negotiated as a fixed-price labor hourly contract, where the firm billed time and material expenses directly to the government and were paid monthly based on its customer representative’s approval of the firm’s invoices. Although the firm had to go through a few hoops to get the contract, the result was very rewarding. The firm got to perform exciting research with a minimum of overhead and bureaucracy.
Organization
The firm is a small business with ten employees. It has a relatively flat organization with seven professional employees who do just about everything. Officers of the firm are techies who prize their security expertise, networking knowledge, and practical problem-solving skills. Besides performing research and development (R&D) efforts, the firm offers a range of products and services in the software security field. For example, the firm performs vulnerability analyses for customers on a time and materials basis to identify security weaknesses in client policies, practices, systems, and procedures. As part of these analyses, the firm also performs penetration testing to pinpoint problems in systems that need to be fixed immediately. As another example of its offerings, the firm conducts a variety of training for its clients, ranging from one-day and two-day seminars to mentoring with an on-the-job-training component.
The remaining three employees include an office manager, a part-time bookkeeper, and a part-time intern. The office manager keeps the office operating at peak efficiency and makes sure computers and other equipment are up to date and working. He also answers the phones, orders supplies, and does proofreading. Besides keeping the firm’s books, the bookkeeper prepares the invoices and handles payroll every two weeks. She also maintains expertise in the firm’s accounting software. The intern is a full-time student majoring in computer science at a local college who does whatever odd jobs pop up. These tasks include running errands, making copies, installing software, and updating the firm’s website.
Thiết lập giai đoạnMột công ty phần mềm thương mại nhỏ chuyên ngành ứng dụng phần mềm bảo mật giành được một chương trình nhỏ doanh nghiệp đổi mới nghiên cứu (SBIR) giai đoạn tôi hợp đồng từ một cơ quan quốc phòng khoảng 10 vài tháng trước để xác nhận các thuật toán phát hiện và bảo vệ những chương trình phần mềm chống lại cuộc tấn công kỹ thuật đảo ngược. Chương trình SBIR thúc đẩy thương mại hóa các sản phẩm mà các cơ quan chính phủ cần thông qua một chương trình ba giai đoạn. Giai đoạn tôi xác nhận tính khả thi. Giai đoạn II là nhằm vào các bằng chứng của khái niệm, trong khi giai đoạn III theo đuổi các thương mại hóa với sự hỗ trợ khu vực tư nhân.Đảo ngược kỹ thuật tấn công cố gắng tháo rời những chương trình phát triển một bản sao của phần mềm thiết kế vì vậy mà những người quan tâm đến việc nó có thể hiểu logic phần mềm và cấu trúc dữ liệu, xây dựng các sản phẩm phần mềm tốt hơn cạnh tranh, và/hoặc tìm thấy và khai thác lỗ hổng trong tương lai. Khách hàng xem các công ty gần đây đã hoàn thành 100.000, sáu tháng, SBIR giai đoạn tôi hợp đồng là thành công. Vì vậy, đề nghị giai đoạn II của công ty với một $1 triệu, hai năm nỗ lực để xây dựng một công cụ thử nghiệm cho phép các công ty chứng minh khái niệm của nó bằng cách tự động hoá quá trình của mình để chèn bảo vệ vào file thực thi đã được chấp nhận. Công ty hy vọng sẽ sử dụng các mẫu thử nghiệm để thuyết phục những người khác về tiềm năng của các khái niệm. Nó hiện đang thương lượng một hợp đồng cho các nỗ lực giai đoạn II mới với người mua của cơ quan. Trong quá trình giải đã được đặt trên theo dõi nhanh vì công ty đã có thể thu hút phù hợp với tiền 500.000 đô la từ một ngôi nhà lớn hơn của phần mềm chuyên về phần mềm bảo mật. Tất cả những công ty này muốn đầu tư của mình là quyền từ chối đầu tiên cho thương mại hóa công nghệ. Với giải thưởng hợp đồng chính phủ, tổng kinh phí cho những nỗ lực do đó sẽ là $1,5 triệu.Đây là một chiến thắng lớn cho các công ty nhỏ này. Hợp đồng lớn nhất trong quá khứ là giai đoạn tôi giải thưởng $ 100.000. Giải thưởng này được đàm phán như một hợp đồng theo giờ lao động giá cố định, nơi mà các công ty quảng cáo thời gian và chi phí vật liệu trực tiếp cho chính phủ và được trả tiền hàng tháng dựa trên sự chấp thuận của đại diện khách hàng của hoá đơn của công ty. Mặc dù công ty đã phải đi qua một vài hoops để có được hợp đồng, kết quả là rất bổ ích. Công ty phải thực hiện các nghiên cứu thú vị với tối thiểu trên cao và quan liêu.Tổ chứcCông ty này là một doanh nghiệp nhỏ với 10 nhân viên. Nó có một tổ chức tương đối bằng phẳng với 7 nhân viên chuyên nghiệp, người làm chỉ là về tất cả mọi thứ. Các cán bộ của công ty là techies người tặng giải thưởng chuyên môn bảo mật, mạng kiến thức và kỹ năng giải quyết vấn đề thực tế của họ. Bên cạnh việc thực hiện các nỗ lực nghiên cứu và phát triển (R & D), công ty cung cấp một loạt các sản phẩm và dịch vụ trong lĩnh vực an ninh phần mềm. Ví dụ, các công ty thực hiện phân tích lỗ hổng bảo mật cho khách hàng trên cơ sở thời gian và tài liệu để xác định điểm yếu bảo mật khách hàng chính sách, thực tiễn, Hệ thống và quy trình. Như một phần của các phân tích, các công ty cũng thực hiện thâm nhập thử nghiệm để xác định các vấn đề trong hệ thống mà cần phải được cố định ngay lập tức. Như một ví dụ khác của các dịch vụ của mình, công ty tiến hành một loạt các đào tạo cho khách hàng của mình, khác nhau, từ hội thảo một ngày và hai ngày để kèm cặp với một thành phần on-the-job-đào tạo.Các nhân viên còn lại của ba bao gồm một trình quản lý văn phòng, một nhân viên kế toán bán thời gian và bán thời gian nội. Quản lý văn phòng giữ các văn phòng hoạt động ở đỉnh cao hiệu quả và đảm bảo rằng các máy tính và các thiết bị được Cập Nhật và làm việc. Ông cũng trả lời điện thoại, đơn đặt hàng vật tư và có proofreading. Bên cạnh việc giữ cuốn sách của công ty, nhân viên kế toán chuẩn bị các hóa đơn và xử lý bảng lương mỗi hai tuần. Cô cũng vẫn duy trì các chuyên môn trong phần mềm kế toán của công ty. Sinh viên thực tập là toàn thời gian học sinh majoring trong khoa học máy tính tại một trường cao đẳng địa phương có bất cứ công việc lặt vặt bật lên. Các tác vụ này bao gồm các công việc nhỏ, làm cho bản sao, cài đặt phần mềm và cập nhật trang web của công ty.
đang được dịch, vui lòng đợi..
Thiết lập các giai đoạn
Một công ty phần mềm thương mại nhỏ chuyên về bảo mật ứng dụng phần mềm giành được một chương trình doanh nghiệp nhỏ nghiên cứu đổi mới (SBIR) Giai đoạn I ký hợp đồng từ một cơ quan quốc phòng về mười tháng trước để xác nhận rằng các thuật toán phát hiện và bảo vệ tập tin nhị phân phần mềm chống lại các cuộc tấn công kỹ thuật đảo ngược. Các chương trình SBIR thúc đẩy thương mại hóa các sản phẩm mà các cơ quan chính phủ cần thông qua một chương trình ba giai đoạn. Giai đoạn I xác nhận tính khả thi. Giai đoạn II nhằm mục đích chứng của khái niệm, trong khi giai đoạn III theo đuổi thương mại hóa với sự hỗ trợ khu vực tư nhân.
Xếp tấn công kỹ thuật cố gắng tháo rời các mã nhị phân để phát triển một bản sao của phần mềm thiết kế để cho những người quan tâm đến nó có thể hiểu được logic phần mềm và cấu trúc dữ liệu, xây dựng cạnh tranh sản phẩm phần mềm tốt hơn, và / hoặc tìm và khai thác lỗ hổng trong tương lai. Các khách hàng đã xem gần đây đã hoàn thành 100.000 $, sáu tháng của công ty, SBIR Giai đoạn I hợp đồng thành công. Bởi vì điều này, giai đoạn II đề nghị của công ty cho một $ 1 triệu, hai năm nỗ lực xây dựng một bộ công cụ nguyên mẫu cho phép các công ty để chứng minh khái niệm của nó bằng cách tự động quá trình của nó để chèn bảo vệ vào thực thi đã được chấp nhận. Công ty hy vọng sẽ sử dụng các mẫu thử nghiệm để thuyết phục người khác về tiềm năng của các khái niệm. Nó hiện đang đàm phán một hợp đồng cho các nỗ lực mới giai đoạn II với người mua của cơ quan. Quá trình giải thưởng đã được đưa vào theo dõi nhanh vì công ty đã có thể thu hút vốn phù hợp với 500.000 $ từ một ngôi nhà lớn hơn phần mềm chuyên về bảo mật phần mềm. Tất cả những công ty này muốn đầu tư của nó là quyền từ chối đầu tiên cho việc thương mại hóa công nghệ này. Với việc trao hợp đồng của chính phủ, tổng kinh phí cho các nỗ lực do đó sẽ là $ 1.5 triệu.
Đây là một chiến thắng lớn cho công ty nhỏ này. Hợp đồng lớn nhất của nó trong quá khứ là giai đoạn tôi giải thưởng là $ 100,000. Giải thưởng này đã được đàm phán như một hợp đồng lao động theo giờ giá cố định, nơi mà các công ty hóa đơn chi phí thời gian và vật chất trực tiếp cho chính phủ và đã được trả hàng tháng dựa trên chính đại diện khách hàng của mình các hóa đơn của công ty. Mặc dù các công ty đã phải trải qua một vài hoops để có được hợp đồng, kết quả là rất bổ ích. Công ty đã thực hiện nghiên cứu thú vị với tối thiểu chi phí và quan liêu.
Tổ chức
Công ty là một doanh nghiệp nhỏ với mười nhân viên. Nó có một tổ chức tương đối bằng phẳng với bảy nhân viên chuyên nghiệp, người làm chỉ là về tất cả mọi thứ. Cán bộ của công ty là chuyên gia kỹ thuật người thưởng chuyên môn an ninh của họ, kiến thức mạng, và kỹ năng thực hành giải quyết vấn đề. Ngoài việc thực hiện các nỗ lực nghiên cứu và phát triển (R & D), công ty cung cấp một loạt các sản phẩm và dịch vụ trong lĩnh vực phần mềm bảo mật. Ví dụ, các công ty thực hiện phân tích lỗ hổng cho khách hàng về thời gian và vật liệu cơ sở để xác định điểm yếu bảo mật trong các chính sách khách hàng, thực hành, hệ thống và thủ tục. Là một phần của các phân tích, công ty cũng thực hiện thử nghiệm thâm nhập để xác định các vấn đề trong hệ thống cần phải được cố định ngay lập tức. Như một ví dụ khác của các dịch vụ của mình, công ty tiến hành một loạt các huấn luyện cho các khách hàng của mình, từ một ngày và hai ngày hội thảo tư vấn với một thành phần trên-the-job-đào tạo.
Ba nhân viên còn lại bao gồm một trình quản lý văn phòng, một nhân viên kế toán bán thời gian, và một thực tập bán thời gian. Việc quản lý văn phòng giữ các văn phòng hoạt động ở hiệu suất cao nhất và đảm bảo các máy tính và các thiết bị khác đang được cập nhật và làm việc. Ông cũng trả lời điện thoại, đặt hàng vật tư, và không hiệu đính. Bên cạnh việc giữ sổ sách của Công ty, các nhân viên kế toán chuẩn bị các hoá đơn và xử lý bảng lương mỗi hai tuần. Cô cũng duy trì chuyên môn trong phần mềm kế toán của công ty. Các thực tập là một sinh viên toàn thời gian chuyên ngành khoa học máy tính tại một trường đại học địa phương ai làm bất cứ công việc kỳ lạ bật lên. Những nhiệm vụ này bao gồm chạy việc vặt, tạo bản sao, cài đặt phần mềm, và cập nhật trang web của công ty.
đang được dịch, vui lòng đợi..