協助軟體資安控管 各國陸續推行SBOM相關法規政策助降風險
(中央社訊息服務20250613 10:33:51)軟體開發過程中,除自行研發外,借助第三方或開源元件亦為常見手段。然而隨著軟體內容及組成元件來源愈加複雜,對軟體資安的控管難度也隨之愈加提升。為應對此類情境,確保軟體供應鏈安全性(Supply Chain Security),軟體物料清單(Software Bill of Materials,SBOM)遂成為備受關注的規範主題。對應一般製造業記載原物料、加工流程、半成品與成品數量之物料清單(Bill of Materials, BOM),SBOM之主軸則在揭露軟體之組成元件及其版本、供應鏈關係,確保軟體的透明度與可信度,俾利採購單位易於預先檢核其風險、漏洞,及增強資安事件發生時之應對能力。
資策會科技法律研究所觀察,針對SBOM,各國近年已有相當數量的相關政策、規範,如美國前總統拜登曾於2021年5月簽署總統行政命令14028號(Executive Order on Improving the Nation’s Cybersecurity,EO14028)中裁示商務部應與國家電信暨資訊管理局(National Telecommunications and Information Administration,NTIA)協調並公布SBOM 最低所需元素(The Minimum Elements For a Software Bill of Materials (SBOM));歐盟執委會(European Commission)公布於2024年12月10日起生效之《網路韌性法》(Cyber Resilience Act,CRA),該法案針對數位產品製造商,規定其應識別並記錄數位產品中所包含的元件及漏洞,並以SBOM等形式加以文件化,從而協助製造商與使用者追蹤已知的新漏洞與網路安全風險,製造商並應確保其數位產品未包含第三方所開發且易受攻擊之元件;日本經濟產業省亦於2023年的7月發佈SBOM導入指引,提供日本企業導入SBOM之益處、導入步驟及應注意事項,以利相關措施推行。
我國政府政策方面,行政院公共工程委員會已於2023年9月25日公布《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》規定,機關辦理資訊服務採購若涉及「應用軟體或系統開發」、「既有系統功能後續擴充」及「應用軟體或系統維運」等類型,且資通系統防護需求分級為高或中級,採購機關宜透過契約要求廠商於更新程式時及各季度均應提供SBOM及安全測試報告,以促進應用程式及程式碼安全性;另衛生福利部食品藥物管理署之《適用於製造業者之醫療器材網路安全指引》、《醫療器材網路安全之業者揭露聲明書》及《醫療器材網路安全評估分析參考範本》等文件中,亦已明列醫療器材製造業者應建立並提交SBOM供上市前審查之用。
資訊技術日益進步,伴隨網路惡意攻擊頻繁,如2021年11月受到關注的「Apache Log4j日誌框架系統」漏洞事件,即因該軟體工具於網路應用程式中廣泛利用,而造成重大影響;而自2025年2月起,駭客陸續駭入醫療院所等引發一連串資安事故,更經立委於質詢中呼籲推動SBOM制度,喚醒大眾對資安防護的警覺。倘能利用SBOM迅速辨識出相關元件,即有助於及時修補,降低因漏洞遭到利用而受到攻擊的風險,免除個人或組織資產的損失,從而凸顯出利用SBOM協助公、私部門快速找出軟體第三方元件與漏洞,並予以即時修補的重要性。歐盟、美、日等皆已陸續透過法規或政策推動SBOM機制以協助管控軟體風險,相關機制之運作及推行方式,值得持續加以追蹤。