近年來,軟體供應鏈安全事件頻發,2024年7月的微軟「藍色畫面」事件進一步凸顯了軟體供應鏈安全的重要性。
軟體供應鏈源頭難以掌握、開源軟體引入的安全風險及軟體供應鏈安全管控制度和措施的不完善已成為軟體供應鏈安全面臨的主要挑戰。
那麼,如何才能更好地保障軟體供應鏈安全呢?
1.建構軟體物料清單,有效辨識軟體供應鏈風險。
需要引導產業用戶和資訊科技企業建立軟體物料清單(SBOM),建立軟體全生命週期的供應鏈管理。同時,可透過廠商自評估與專業技術機構評估結合的方式,定期進行軟體供應鏈安全風險評估工作。
2.建置軟體供應鏈安全公共服務平台,回饋共享軟體供應鏈情報。
應積極推動業者、軟體供應商、網路安全服務機構等協同建置軟體供應鏈安全公共服務平台,持續提升供應鏈安全威脅情報蒐集能力,為軟體供應鏈保障提供警報服務及處置技術支援。
3.建立常態化緊急應變機制,從容應對軟體供應鏈威脅。面向作業系統、資料庫等重點領域,應深入進行風險研判,並積極做好應對預案。
此外,定期組織進行緊急演練,保障突發情況下關鍵資訊系統運作不受影響。
4.加快提升核心技術水平,從源頭掌控軟體供應鏈。努力加速核心技術攻關,盡快完善軟體開發生態建設,力求引領更多技術方向,提升話語權和影響力。
【摘自《保密科學技術》2024年2月刊《軟體供應鏈安全能力模型研究》一文,作者: 翟艷芬、袁薇、王鬱】
