美國網路安全與基礎設施安全局 (CISA) 發布了具有約束力的操作指令26-02 ，進一步加強了遏制系統性生命週期風險的力度，同時將 OpenEoX 定位為一項補充標準，旨在幫助組織更好地追蹤和管理已停止支援的技術。該指令要求聯邦民事機構識別並更換已停止支援的邊緣設備，及時更新軟體，並修復已知漏洞。雖然該指令主要針對聯邦網絡，但隨著老舊且不再受支援的硬體和軟體不斷擴大攻擊面，官員敦促關鍵基礎設施營運商和私營部門組織採取類似行動。

OpenEoX 是一種機器可讀的國際標準，用於在軟體、硬體、服務和人工智慧模型之間交換產品生命週期資訊。如果能更廣泛地採用 OpenEoX，就能為資產管理帶來更大的透明度和自動化，並有助於減少最持久的可預防網路風險來源之一。

「OpenEoX 是OASIS OPEN 的國際標準，旨在規範軟體和硬體產業間產品生命週期資訊（例如 EOS）的交換，」網路安全代理副執行助理主任 Chris Butera 和網路安全漏洞分析師兼 OASIS Open OpenEoX 技術委員會主席 Justin Murphy在最近的部落格文章中寫道。它提供了一種輕量級、機器可讀的模式（JSON），可以與廣泛採用的工具和標準無縫集成，例如軟體物料清單 ( SBOM )、通用安全諮詢框架 ( CSAF ) 和其他漏洞管理標準。

他們指出，OpenEoX 的目標簡單卻意義深遠：為產品生命週期管理帶來透明度、效率和一致性，從而降低與過時或不受支援的技術相關的風險。全球網路安全組織聯盟支持 OpenEoX 的開發，並致力於推廣該標準。

透過與軟體產品物料清單 (SBOM) 和 CSAF/VEX 文件集成，OpenEoX 能夠協助組織將產品生命週期結束和支援終止資訊納入現有的安全和合規工作流程。這種協調確保在評估軟體和硬體組件的安全性和可用性時，生命週期資訊能夠被納入更全面的考慮。此外，其獨立的架構使其具有靈活性，能夠適應各種環境。 OpenEoX 無需進行大規模的系統改造即可廣泛應用。

OpenEoX 是一項旨在規範軟體和硬體生態系統中產品生命週期結束和支援終止資訊共享方式的產業倡議。它為供應商和開源維護者提供了一個通用、透明的框架，以便更有效率地溝通產品生命週期狀態，從而幫助企業更好地管理風險並規劃技術轉型。包括思科、戴爾科技、IBM、微軟、甲骨文和紅帽在內的多家主要技術供應商都支持這項倡議，這表明整個產業都致力於改善軟體供應鏈的生命週期管理。

對於生產商而言，OpenEoX提供了一個標準化的自動化框架，用於溝通產品生命週期結束的關鍵節點，從而減少人工流程，並最大程度地減少客戶困惑，並提高透明度。透過簡化生命週期資訊的共享方式，企業可以增強與客戶的信任，同時降低營運成本，這些效率的提升最終將有助於增強網路安全韌性。

對於消費者而言，OpenEoX 使企業能夠更主動地識別和管理風險。由於它支援機器可讀，並且旨在與現有工具集成，因此安全和資產管理團隊可以快速檢測即將或已停止支援的產品，並及時採取行動。這有助於企業降低因不受支援的技術而導致的漏洞風險，並領先於新興的網路威脅。

文章指出，要充分發揮 OpenEoX 的潛力，需要漏洞管理生態系統內各方協調行動，生產者和消費者都應積極承擔責任。硬體和軟體生產商應採用 OpenEoX，並公開其產品的機器可讀生命週期文檔，使這些資訊無需客戶入口網站或付費牆即可免費取得。漏洞掃描器、資產管理平台及相關工具的開發者應整合 OpenEoX，以實現生命週期追蹤的自動化，並簡化支援終止資訊的交換。

依賴科技產品的組織應將 OpenEoX 資料整合到現有的營運工作流程中，以加強漏洞管理，這包括主動更換已停止支援的設備、及時修補關鍵漏洞以及更新過時的硬體和軟體。他們還應鼓勵合作夥伴和服務提供者發布並利用 OpenEoX 數據，因為每增加一個採用者，威脅行為者利用不支援技術的機會就會減少。採取行動刻不容緩。

Butera 和 Murphy 指出：我們必須停止使用那些存在不可接受的安全風險且不受支持的技術。這個問題不容忽視。OpenEoX 提供了一個自動化框架，用於標準化和透明的產品生命週期管理。作為網路安全防御者，我們需要採用新的做法來保護我們的網絡，並應對威脅行為者日益加快的攻擊速度。透過採用 OpenEoX，我們可以主動消除漏洞，並大規模地保護數位生態系統。

OpenEoX 之所以重要，是因為它能幫助企業降低網路安全風險、改善漏洞管理並實現 IT 環境的自動化。透過統一供應商和開源維護者的產品生命週期結束 (EOL) 和支援結束 (End of Support) 訊息，OpenEoX 使企業能夠快速識別不再受支援或更新的產品。這種可見性使企業能夠淘汰或替換可能更容易受到攻擊的過時產品，有助於維護更安全的 IT 環境、降低資料外洩風險並保護關鍵資產。

該標準還透過提供機器可讀的標準化生命週期資料來加強漏洞管理，企業可以自動追蹤產品生命週期，即時接收即將結束生命週期 (EOL) 和終止生命週期 (EOS) 日期的警報，並在受影響的產品構成安全風險之前主動修補或升級它們。這種主動方法確保 IT 團隊能夠及時獲得訊息，從而應對潛在的漏洞。

由於 OpenEoX 是機器可讀的，因此它可以與其他工具和平台無縫集成，例如漏洞掃描器和安全資訊與事件管理系統。這種整合能夠提供更準確、更及時的組織安全態勢視圖，從而支援更明智的決策和更有效的風險緩解措施。

除了網路安全之外，OpenEoX 還透過標準化產品生命週期結束 (EOL) 和產品生命週期結束 (EOS) 策略，簡化了軟體供應商、供應商和經銷商的產品管理，從而降低了管理成本並提高了效率。此外，採用這些標準的組織展現了透明度、強大的客戶支援和對最佳實踐的遵循，從而增強了客戶信心，並促進了長期合作關係的建立。 OpenEoX 也有助於客戶更平穩地遷移到新技術解決方案，最大限度地減少停機時間、支援問題和中斷，最終提升整體用戶體驗。

上個月，美國網路安全和基礎設施安全局 (CISA)呼籲關鍵基礎設施組織採取更果斷的措施來應對內部威脅，以降低內部風險。該指南提出了「規劃、組織、執行和維護」（POEM）框架，鼓勵組織規劃如何利用威脅管理團隊；根據組織需求組織團隊成員；透過團隊有效緩解內部威脅；並維護威脅管理團隊的活力，以提升其能力並改善其未來的運作。

資料來源：https://industrialcyber.co/regulation-standards-and-compliance/cisa-urges-organizations-to-adopt-openeox-standard-to-streamline-asset-management-and-curb-cyber-risks/