導言與背景

2025 年 6 月，美國白宮發布行政命令（Executive Order 14306），要求持續加強全國的網路安全與軟體供應鏈防護，並對現有行政命令 13694 與 14144 進行修訂。作為回應，美國國家標準與技術研究院（NIST）啟動了「軟體供應鏈與 DevOps 安全實務聯盟」（Software Supply Chain and DevOps Security Practices Consortium），並與 14 家產業夥伴共同制定新一代軟體安全開發指引。該計畫由國家資安卓越中心（NCCoE）主導，目標是將安全軟體開發框架（Secure Software Development Framework, SSDF）的原則轉化為可落地的實作方法，並結合 DevSecOps 與零信任架構（Zero Trust Architecture, ZTA），提供從軟體規劃到運維的全生命週期安全策略。

SSDF 架構解析

1. Prepare the Organization（組織準備）：建立安全開發政策與資源分配，明確界定角色與責任，培訓相關人員。
2. Protect the Software（軟體防護）：保護開發環境（版本控制系統、建置伺服器、測試環境），使用安全的第三方元件並進行驗證。
3. Produce Well-Secured Software（生產安全軟體）：採用安全編碼實務、靜態與動態程式分析，進行威脅建模與安全測試。
4. Respond to Vulnerabilities（回應漏洞）：建立漏洞回報與修補流程，定期進行安全審查與版本更新。
   然而，SSDF 側重於「做什麼」，對於「如何做」與具體技術落地方案著墨較少，這正是 SP 1800-44 草案的價值所在。

SP 1800-44 草案重點

1. 全生命週期安全覆蓋：涵蓋軟體從規劃、開發、建置、測試、發佈、部署到運維的每個階段。
2. 參考模型與應用場景：未來版本將提供詳細的安全開發環境架構圖、配置示例，以及針對特定產業或應用的最佳實務。
3. 商用現成技術（COTS）與 AI 能力整合：展示如何使用現有工具與人工智慧（AI）技術來自動化安全檢測、程式碼掃描與弱點修補。
4. 零信任架構導入：將零信任原則（持續驗證、最小權限、上下文存取控制）融入開發環境，防止內部威脅與外部入侵。
5. 第三方元件安全管理：制定引入外部程式庫與套件的安全流程，包括簽章驗證、SBOM（軟體物料清單）檢查與漏洞掃描。

DevSecOps 與零信任應用實例

1. 安全開發環境隔離：採用虛擬化或容器化技術隔離專案環境，每位開發者使用唯一認證與 MFA（多因素驗證）。
2. 自動化安全檢測：在 CI/CD 流程中整合 SAST、DAST 與 SCA，使用 AI 偵測潛在的程式碼安全異常與模式。
3. 零信任權限控管：採用細粒度存取控制（ABAC），實施「Just-In-Time」臨時權限授予，減少長期高權限帳號風險。
4. 持續監控與即時回應：將開發環境與運維系統的日誌集中管理並進行異常行為分析，發現異常立即觸發自動化封鎖與警報機制。

對企業落地實施的建議

1. 建立跨部門安全文化：將安全納入產品規劃、專案管理與品質保證流程，不僅是 IT 部門的責任。
2. 採用分階段導入策略：從高風險專案開始試行 SP 1800-44 指引，再逐步擴展到全組織。
3. 強化第三方供應鏈安全：要求供應商遵循相同的安全開發準則，並定期進行審查與稽核。
4. 投資自動化工具與安全人才：減少人工檢查成本，同時確保團隊具備最新安全技能。
5. 建立持續改善機制：定期回顧安全指標與事件，優化開發環境與流程。

後續發展與參與方式

1. 意見徵集期限：2025 年 9 月 12 日前，公眾可提交對初步草案的意見與建議。
2. 線上活動：2025 年 8 月 27 日（美東時間下午 1 時）舉辦，介紹專案目標並收集回饋。
3. 參與機會：任何有興趣的組織都可加入 NIST 的「利益相關者社群（Community of Interest）」。

資料來源：https://www.nist.gov/news-events/news/2025/07/nist-consortium-and-draft-guidelines-aim-improve-security-software