報導摘要
美國網路安全和基礎設施安全局(CISA)、國家安全局(NSA)與全球19個國際合作夥伴,共同發布了一份名為《軟體物料清單(SBOM)網路安全共享願景》的聯合指南。該文件強調軟體供應鏈透明度的重要性,並鼓勵全球各界廣泛採用SBOM,以強化軟體供應鏈的防禦能力。這項倡議是全球在軟體透明度方面達成共識的重要里程碑,旨在透過標準化的SBOM實施,降低複雜性與成本,並將其整合到日常安全工作流程中,從而更有效地管理風險並提升整體網路安全韌性。指南不僅闡述了SBOM對軟體生產商、採購組織、營運商及國家安全機構的諸多好處,也呼籲各國將SBOM實踐納入其安全框架,以應對日益嚴峻的供應鏈風險。
軟體物料清單(SBOM)簡介:軟體的「成分表」
在當今數位化的世界中,軟體已成為各行各業運作的核心,而現代軟體的開發模式高度依賴外部程式碼,特別是開源(open-source)軟體元件與函式庫。一個看似簡單的應用程式,其背後可能由數百甚至數千個不同的開源或專有元件所組成。然而,這種開發模式雖然加速了創新,卻也帶來了巨大的安全隱患。當其中一個元件存在漏洞時,整個軟體產品都會面臨風險。
軟體物料清單(Software Bill of Materials,簡稱SBOM)正是為了解決這個問題而生的。它就像食品包裝上的成分表一樣,為軟體提供了全面的「成分」列表,詳細記錄了軟體中所有使用的第三方元件、版本號、授權資訊以及它們之間的依賴關係。透過這份清單,組織能夠清晰地了解軟體的內部構成,進而有效地識別、追蹤和管理潛在的漏洞和安全風險。
CISA、NSA與全球夥伴發布指南的要點
CISA、NSA與19個國際合作夥伴的聯合指南,不僅是技術層面的建議,更是一項國際性的政策與戰略倡議。這份指南的核心要點旨在推動SBOM從一個新興概念轉變為全球範圍內的標準化實踐,具體包含以下幾個面向:
推動廣泛採納與跨國界協作:指南呼籲全球政府、企業和非營利組織積極採用SBOM。它認識到軟體供應鏈是全球化的,單一國家或組織的努力無法徹底解決問題。因此,指南強調跨國界的協作,鼓勵各國共同建立一個互相信任且具備透明度的軟體生態系。
標準化與簡化實施:為了避免各自為政導致的實施困難,指南倡導各國採用標準化的技術實踐。它指出,如果各國或產業各自建立不同的SBOM標準,將會增加實施的複雜性與成本,阻礙其廣泛普及。一個共同的框架將有助於簡化實施過程,提高效率,並增強數位環境中的信任。
將SBOM整合至安全工作流程:指南不僅僅要求生成SBOM,更重要的是將其深度整合到企業現有的安全工作流程中。這包括在軟體開發生命週期(SDLC)的早期階段就開始生成SBOM,並在後續的漏洞管理、風險評估和事件回應中持續利用其資訊。如此一來,SBOM不再是一個靜態文件,而是一個動態的、能持續為決策提供支援的工具。
闡明SBOM的價值主張:指南明確列出SBOM對不同利害關係人的具體價值:
對於軟體生產商:可提升內部開發的透明度,簡化漏洞修復流程,並向客戶證明其產品的安全性。
對於軟體採購組織:可根據SBOM資訊進行更明智的風險評估,選擇更安全的供應商,並在簽約時設定明確的安全要求。
對於營運商:可快速識別受新發現漏洞影響的軟體,進而加速修復和回應,降低業務中斷風險。
對於國家安全機構:可從宏觀層面掌握關鍵基礎設施軟體的組成,並在國家級別的網路安全事件中進行協調與回應。
以實際案例突顯其效用:指南特別提到了2021年震驚全球的Log4j漏洞事件。當時,許多組織難以快速確定其軟體產品是否使用了存在漏洞的Log4j元件,導致修復工作延遲。而擁有SBOM的組織則能迅速掃描清單,精準定位並修復受影響的軟體,從而顯著降低了風險。這個案例強有力地證明了SBOM在應對大規模、突發性漏洞時的關鍵作用。
台灣與全球供應鏈安全:從指南看台灣的機會與挑戰
作為全球電子與半導體產業的核心,台灣在軟體供應鏈中扮演著至關重要的角色。從半導體晶片設計軟體、工業控制系統(ICS)到消費電子產品中的嵌入式軟體,台灣企業的產品無處不在。這使得台灣不僅是潛在的受害者,更在全球軟體安全體系中承擔著重要的責任。
這份國際指南對台灣來說,既是挑戰也是機遇:
挑戰:法規與標準接軌:目前台灣在SBOM的實施上尚無全面性法規。為了與國際接軌並維持競爭力,台灣政府與相關機構必須研究並採納國際標準,推動國內產業建立SBOM的生成與交換能力。這需要投入資源進行教育訓練,並制定相應的政策框架。
挑戰:中小企業的數位轉型:台灣產業以中小企業(SMEs)為主,其中許多是全球供應鏈的關鍵環節。這些企業可能缺乏資源和技術來實施複雜的SBOM工具和流程。政府和產業協會需要提供支持,例如開發易於使用的開源工具或提供培訓,以確保中小企業也能參與到這項安全工作中。
機遇:提升產業競爭力:主動擁抱SBOM並將其納入產品開發流程的台灣企業,將能夠向國際客戶證明其產品的透明度和安全性,從而在全球市場中獲得競爭優勢。特別是在歐美等國對軟體安全要求日益嚴格的背景下,擁有完整SBOM的產品將更受青睞。
機遇:資安產業的成長:SBOM的普及將催生對相關工具和服務的需求,例如SBOM生成工具、分析軟體、以及顧問服務。這為台灣本土的資安產業帶來了巨大的商機,鼓勵其開發創新解決方案,並在全球市場中佔據一席之地。
SBOM與「安全設計」(Secure-by-Design)原則這份指南將SBOM的實踐與「安全設計」(Secure-by-Design)的理念緊密結合。安全設計是一種軟體開發方法論,強調將安全性考量從軟體生命週期的最初階段就納入,而不是在產品完成後才進行修補。
SBOM是實現安全設計的基石。透過在開發初期生成和維護SBOM,開發團隊可以:
及早發現並修復漏洞:當新的漏洞(如Log4j)被披露時,團隊可以立即查詢SBOM,找出受影響的元件,並在產品發布前或發布後快速推送修補程式。
管理第三方元件風險:開發者在選擇開源函式庫時,可以利用SBOM工具檢查其是否存在已知的安全問題,從源頭上避免引進風險。
簡化法規遵循:許多產業(如醫療、金融)有嚴格的法規遵循要求。SBOM提供了追蹤所有軟體元件及其授權的簡單方式,有助於滿足這些要求。
透過將SBOM整合到安全設計流程中,軟體供應鏈不再是事後被動修補的對象,而是從根本上被設計為安全和有彈性的。
未來展望與建議
CISA、NSA與全球夥伴發布的這份指南為SBOM的未來發展勾勒出清晰的藍圖。它表明,軟體透明度不再是一個可選的選項,而是全球軟體生態系不可或缺的一部分。為了應對這一趨勢並確保台灣在全球供應鏈中的領導地位,建議採取以下行動:
政策與法規制定:政府應與產業合作,制定鼓勵或要求在關鍵領域使用SBOM的政策,並提供實施指南和標準。這不僅有助於提升台灣的資安防禦能力,也能滿足國際客戶日益嚴格的要求。
人才培育與技術研發:政府和學術界應投資於軟體供應鏈安全相關的人才培訓,並鼓勵對SBOM生成、分析和管理工具的研發。這將有助於建立台灣在這一領域的技術優勢。
產業間的協作與資訊共享:台灣的硬體和軟體製造商應建立一個共享SBOM資訊的平台,以便在發生漏洞事件時能夠迅速協作和回應。這可以提升整個產業鏈的集體防禦能力。
重視中小企業的支持:針對佔比龐大的中小企業,應提供簡便的SBOM工具和流程,並通過補助或獎勵措施鼓勵其採納,確保整體供應鏈的安全不因任何環節的薄弱而中斷。
總而言之,CISA、NSA與全球夥伴的SBOM指南為全球軟體供應鏈安全設定了一個新的標準。台灣作為其中關鍵的一環,必須迅速行動,將其視為提升自身資安韌性和產業競爭力的重要契機。透過積極採納並推動SBOM,台灣不僅能保護自身的數位基礎設施,更能鞏固其在全球高科技供應鏈中的可信賴地位。
資料來源:https://industrialcyber.co/sbom/cisa-nsa-global-partners-release-sbom-guidance-urging-cross-border-adoption-to-boost-software-supply-chain-security/