關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
顯示分類
2025.12.22
標準與框架/法規標準
ENISA就SBOM分析和安全包管理指南啟動公眾諮詢
軟體供應鏈安全的新紀元與危機意識

最近曝光的 React 嚴重漏洞 (CVE-2025-55182) 的 CVSS 評分高達 10.0,充分說明了高普及度框架中的漏洞會造成多麼巨大的影響範圍。初步分析估計,超過 1,200 萬個網站可能受到影響,這凸顯了廣泛使用的依賴項中的漏洞傳播規模之大。在此背景下,軟體供應鏈的透明度與安全性已不再是技術選配,而是企業生存的核心韌性。歐盟網路安全局 (ENISA) 已邀請產業利益相關者和其他相關方就其《安全使用軟體包管理器的技術諮詢草案》和《安全使用軟體包管理器的技術諮詢》提供回饋意見,該倡議旨在透過強化「網路安全設計」和「網路安全預設」來加強歐盟市場的網路安全。它體現了歐盟更廣泛的優先事項,即保障數位產品安全和保護最終用戶,從而有助於維護共享的互聯生態系統。

 

SBOM 實施指南與組織管理透明度

透過啟動這兩項公開諮詢,ENISA 旨在徵求產品安全和軟體開發領域專業人士的意見,以幫助制定切實可行的指導方針,從而提升整個生態系統的網路安全水平,利害關係人可在 1 月 23 日前提交關於技術諮詢的回饋意見。SBOM 現況分析報告提供了一份軟體物料清單 (SBOM) 實施指南,這標誌著組織在提升系統管理、透明度和彈性方面邁出了重要一步。ENISA 彙編了一份報告草案,其中包含全面而實用的指導,旨在幫助不同規模和能力的組織實施 SBOM 實踐。

這份長達 84 頁的報告草案指出,安全物料清單(SBOM)並非僅僅是靜態的合規性文件,其數據還可以成為動態營運智慧資產的基礎。「如今,實施全面 SBOM 實踐的組織能夠充分利用自動化安全響應、預測性供應鏈分析和基於證據的架構決策。透過系統化的組件追蹤所獲得的透明度,能夠幫助企業做出明智的技術選擇、優化供應商關係並展現出顯著的安全成熟度,而這些因素正日益決定著企業的市場競爭力。」

 

軟體供應鏈利害關係人的協作與互補

軟體供應鏈包含相互關聯的利害關係人,他們對軟體物料清單 (SBOM) 的需求各不相同但又互補。軟體生產商負責產生和維護組件清單,作為下游使用者的權威資訊來源。軟體採購評估人員在採購過程中利用 SBOM 資料進行風險評估和合規性驗證,而軟體維運人員則需要可操作的資訊來管理生產環境中的漏洞和事件回應。為了支援此生態系統,標準化機構確保格式互通性和規範演進,而網路安全協調實體則匯總 SBOM 情報,用於威脅評估和協調回應

這項措施推出之際,旨在評估歐洲各地 SBOM 狀況的基線調查仍在進行中,並將持續到 12 月 19 日。此外,ENISA 將從 2026 年起定期發布產品安全技術諮詢報告,首份技術諮詢報告涵蓋軟體套件管理器的使用,軟體開發在很大程度上依賴軟體包管理器的使用。軟體包和軟體包管理器為軟體開發帶來了許多益處,例如提升協作性、效率和一致性。

 

軟體開發生命週期中的套件管理安全實踐

本草案旨在為軟體開發人員在軟體開發生命週期中,尤其是在安全使用軟體套件管理器方面提供支援。具體而言,本文檔概述了使用第三方軟體包時常見的風險,介紹了選擇、整合和監控軟體包的安全實踐,並解釋瞭如何解決依賴項中發現的漏洞。《安全使用軟體包管理器的技術諮詢》詳細闡述了現代軟體開發高度依賴透過軟體包管理器(例如 npm 註冊表、Python 軟體包安裝程式 (pip) 和 Apache Maven 倉庫)取得的外部軟體包、庫和工具。這些軟體包管理器透過提供對龐大的第三方(通常是開源程式碼)程式碼庫的快速便捷存取來支援軟體開發。然而,正如最近發生的事件所表明的那樣,它們也帶來了供應鏈風險。

這份 24 頁的文件重點介紹了開發人員如何在軟體開發生命週期 (SDLC) 中安全地使用套件管理器。具體而言,它概述了使用第三方軟體包時常見的風險,介紹了選擇、整合和監控軟體包的安全實踐,並解釋瞭如何解決依賴項中發現的漏洞。本文檔的範圍僅限於軟體專案中使用軟體包和管理相依性時所涉及的安全性問題,它不涉及軟體包的安全發布或安全編碼實踐。本文檔中列出的範例通常會引用流行的生態系統和工具,例如 Node.js 的 npm 套件管理器和程式碼倉庫平台(例如 GitHub),但其主要原則適用於所有軟體套件生態系統和程式碼倉庫。

 

第三方套件的風險分類與威脅分析

ENISA 的這份文件探討了開發者透過軟體套件管理器使用第三方軟體套件時所面臨的安全風險。其分析不包括軟體包分發倉庫本身遭到入侵的情況,也不包括因不良編碼實踐而導致的特定漏洞。雖然軟體套件管理器提供了許多優勢,但也引入了可能影響開發者和下游用戶的安全風險。為了更好地理解這些風險,我們將其分為兩大類:軟體包本身存在漏洞和供應鏈攻擊。

在第一類中,軟體包中的既有漏洞(如 CVE-2025-55182)會因為依賴鏈的自動化導入而迅速擴散。開發者若缺乏 SBOM 的即時追蹤,將難以在第一時間辨識受影響的應用程式範圍。第二類則涉及更具惡意的攻擊行為,如搶註域名(Typosquatting)、依賴混淆(Dependency Confusion)或惡意代碼植入。這些風險直接挑戰了「網路安全設計」的原則,要求組織在選擇套件時必須建立嚴格的驗證程序。

 

強化數位生態系統的未來展望

隨著歐盟對數位產品安全法規的收緊,SBOM 的實施將成為市場競爭力的分水嶺。透過標準化的清單,企業不僅能滿足合規性,更能將安全左移(Shift-Left),在開發初期即過濾具風險的依賴項。ENISA 的指導方針為全球軟體產業提供了寶貴的藍圖,強調了透明度與自動化管理在對抗大規模漏洞時的關鍵作用。

總結而言,面對如 React 高危漏洞般的挑戰,唯有透過系統化的 SBOM 追蹤、嚴謹的套件管理器安全政策以及利害關係人間的情報共享,方能確保台灣與全球應用軟體生態系統的長治久安。企業應積極參與相關標準的制定與諮詢,並將 SBOM 視為動態的營運資產,以在快速變化的威脅環境中保持技術領先。


資料來源:https://industrialcyber.co/sbom/enisa-opens-public-consultation-on-sbom-analysis-and-secure-package-management-guidance/
 
探討歐盟網路安全局 (ENISA) 針對 SBOM 實施指南與安全軟體包管理技術諮詢草案。分析近期 React 嚴重漏洞 (CVE-2025-55182) 對全球 1,200 萬網站的衝擊,並詳述組織如何透過標準化 SBOM 提升供應鏈透明度、自動化安全響應及預測性風險分析,確保數位生態系統的韌性與合規。