分享
'%3e%3cpath%20d='M12.8276%205.73367L12.5096%208.74976H10.0987V17.4995H6.47736V8.74976H4.67285V5.73367H6.47736V3.91783C6.47736%201.46481%207.49748%200%2010.3973%200H12.807V3.01609H11.299C10.1739%203.01609%2010.0987%203.44123%2010.0987%204.22665V5.73367H12.8276Z'%20fill='%2398A2B3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_162_3194'%3e%3crect%20width='17.4995'%20height='17.4995'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cpath%20d='M6.91992,6l14.2168,20.72656l-14.9082,17.27344h3.17773l13.13867,-15.22266l10.44141,15.22266h10.01367l-14.87695,-21.6875l14.08008,-16.3125h-3.17578l-12.31055,14.26172l-9.7832,-14.26172z'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
軟體物料清單(SBOM)全球各國發展研討
軟體物料清單(Software bills of materials; SBOM)近年來成為軟體採購品質重要的
「關鍵字」,其主要的定義在於製造最終產品所使用的文件,內容記載著原物料、加工流程、半成品與成品數量等資訊,通常作為生產雙方聯繫或公司內部溝通的文件。軟體物料清單則記載著軟體成分組成、版本、供應鏈關係等相關資訊,透過資訊揭露,讓軟體品質檢核能更加透明化,可保障採購方的權益。
在2021年五月公佈的美國行政命令14028號中,則是如此定義:一份正式的記錄,包含了建構軟體用的各式元件相關細節及他們在供應鏈上的關係。
SBOM主要是用來解決供應鏈遭遇的問題。此問題肇因於當前的軟體開發流程,比起由工程師從零開始建構函式和模組,更多時候是引用第三方套件加速開發之流程。但隨開發的系統架構日益龐大,引入的套件也逐漸增多。當某些套件因版本過舊,亦或是發現新的零時差漏洞時,因第三方套件彼此間依賴關係複雜且晦澀不明,使得發生漏洞的套件無法被即時偵測和排除,進而使企業蒙受的了巨大的損失。
舉例而言,2021年的log4j零時漏洞,攻擊者可以藉助此漏洞取得系統的管理權限,進而造成更甚的破壞。而此漏洞於美國網路安全審查委員會(Cyber Safety Review Board; CSRB)在2022年七月份提出的檢視報告中,指出此漏洞不僅影響近7,000多個開源專案,亦已轉變如地方流行性疾病般存在(endemic vulnerability),影響將持續數年之久。造成前述結果其中之一的原因,就是企業不曉得自身所使用的套件對log4j有高度相依性。
各國在SBOM的法規制定及作為,強化軟體安全
以下介紹各國在SBOM的法規制定及所採取之作為:
一、 美國
近年來,日益猖獗的網路攻擊事件,不斷危害美國國內各公私部門,甚至於個人的安全和隱私。為因應此情況,前任美國總統拜登在2021年5月簽署的總統行政命令14028號 (EO 14028),旨在透過政府推動國家網路安全的強化。依循此行政命令之規範,聯邦採購法規 (Federal Acquisition Regulation; FAR)的權責機關美國國防部 (Department of Defense; DoD)、聯邦總務署(General Services Administration; GSA)和美國國家航空暨太空總署(NASA)於同年秋天提出新草案FAR CASE 2021-017: Cyber Threat and Incident Reporting and Information Sharing,旨在強化網路安全威脅的回報和資訊共享。
二、 歐盟
歐盟執委會(European Commission) 於2022年9月提出了Cyber Resilience Act草案。這項法案旨在防範日益嚴重的網絡犯罪對經濟的危害,因為歐盟目前尚無法規能夠全面涵蓋所有數位產品(products with digital elements)的網絡安全。此外,網絡安全問題具有強烈的跨國性質,僅靠單一會員國立法無法徹底防範。由於市面上的產品多涉及多國供應鏈,只有當整條供應鏈的所有元件都符合安全標準時,才能宣稱產品是安全的。因此,需要一個歐盟層級的法律框架來規範在區域內流通的數位設備。
三、 日本
隨著軟體供應鏈日益複雜,能攻擊手法也日益激增。所以日本經濟產業省於2023年的7月發佈了SBOM導入指引,欲透過推廣企業導入SBOM,強化軟體安全性。
在指引中提及,近年來伴隨著產業活動服務化,產業中軟體的重要性也越來越高。而為縮短軟體開發時程,在開發上多半會使用開源軟體(Open Source Software)或套件,隨著使用的開源套件變多,軟體供應鏈也趨於複雜,想要掌握軟體中內含多少元件也變成困難的課題。為能有效率管理這些元件,SBOM的使用便受到了矚目。因此,產業經濟省成立工作小組,針對SBOM議題和業界及專家進行交流,並制定相關指引。
四、 台灣
關於我國政府資通訊類採購部分,行政院所屬的公共工程委員會,於民國112年9月25日所公布的《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》中,提及:若涉及應用軟體或系統開發、後續擴充及維運,且資通系統分級為高或中時,需提供軟體物料清單 (SBOM)和安全測試報告。
此外,關於醫療器材部分,衛生福利部食品藥物管理署於民國108年11月公告的《適用於製造廠之醫療器材網路安全指引》中,提及為利製造廠確保醫療器材之網路安全(Cybersecurity),防止醫療器材被未經授權的存取、修改、誤用或拒用,使功能減損而導致病患傷害,或避免資訊係經由醫療器材被未經授權的存取或轉移至外部接受者,在醫療器材產品申請上市時,產品敘述與說明資料,應包含所有可執行程式及函式庫清單、相關軟體建置和安裝整合程序之說明。雖未直接提及SBOM等關鍵字,但要求提出的文件內容和SBOM本身的概念不謀而合。
另外,在金融機構亦有相關規範。因應金融機構資訊安全防護需求面向及強度逐年提升,並配合金管會「金融資安行動方案 」等政策,中華民國人壽保險商業同業公會與中華民國產物保險商業同業公會,於中華民國111年12月20日修訂了《保險業辦理資訊安全防護自律規範》。本次修訂中新增了《保險業核心資通系統作業委外資安注意事項》,其中規定系統發展類委外驗收作業階段,須要求委外廠商揭露第三方程式元件之來源與授權。並於112年9月7日因應「金融資安行動方案 2.0」,擴張該注意事項適用範圍並修正為強制性規定。
本篇就討論各國對SBOM的法規/政策/指引制定的相關文獻,其中含美國聯邦法規《FAR CASE 2021-017》、歐盟網路韌性法案 《Cyber Resilience Act》、日本的SBOM導入指引《ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引》,以及國內的相關政策。總結前述文獻,以下將各文獻的出處及主旨進行摘要,並附上國外重大法案—美國的聯邦採購法規修正草案和歐盟的網絡韌性法草案—的最新立法進度。本篇就討論各國對SBOM的法規/政策/指引制定的相關文獻,並整理於表1。
表1:各國SBOM政策發展現況一覽表
|
文獻 |
重點摘要 |
備註 |
|
美國 : 聯邦採購法規(FAR CASE 2021-017)草案 |
•美國國防部、聯部總務署和NASA因應EO 14028要求,提出本採購法規草案,強化網路資安危機回報機制和資訊共享 • 本草案要求契約供應商執行契約時若涉及電腦軟體,在新上架及重大版本更新時,須提供並維護相關SBOM |
• 2024/02/28 DARC匯集審核公眾意見,起草最終版本,暫訂2024/11/20前交付報告 |
|
歐盟 : Cyber Resilience Act |
•本提案旨在 a)確保上市之數位設備網路安全; b)規範設計、開發、產品化的基本需求; c)規範製造商對於漏洞處理的基本需求; d)強化市場監視機制以符上述規則和需求 •其中提及製造商須確認數位產品中所含的元件及漏洞並將其文件化,包括制定通用格式且機器可讀的SBOM |
• 於2024/10/10己通過 • 通過後20天生效,並於36個月後開始實施 |
|
日本: SBOM 導入指引 |
•提供日本企業的說明文件,旨在述SBOM 導入之益處(加速找出軟體漏洞)和導入步驟和應注意事項(如運行環境影響掃描結果) |
• 日本經濟產業省2023年7月28日發布 |
|
臺灣 : 各類資訊(服務)採購之共通性資通安全基本要求參考一覽表 |
• 公共工程委員會公布的採購參考,內含SBOM須提出的時機 • 若涉及應用軟體或系統開發、後續擴充及維運且資通系統分級為高或中時,需提供軟體物料清單 (SBOM)和安全測試報告 |
• 針對資通系統分級為高或中的採購及維謢案,建議要求提供及維謢SBOM的時間及作法 • 未明訂SBOM格式,應參考SBOM最小要素或SPDX規範 |
|
臺灣 : 保險業辦理資訊安全防護自律規範 |
• 因應金融機構資訊安全防護需求面向及強度逐年提升,並配合金管會「金融資安行動方案 」等政策,新增相關規範 • 要求系統發展類委外驗收作業階段,須要求委外廠商揭露第三方程式元件之來源與授權。 |
• 111年12月20日新增相關規範 • 112年9月7日因應「金融資安行動方案 2.0」,擴張附件六適用範圍並修正為強制性規定 |
資料來源:113年數位服務採購環境躍升計畫整理
FIND觀點
筆者認為透過軟體物料清單SBOM,以及做相對應的弱點偵測進行防護,如SBOM檢測與國際CVE漏洞(弱點)資料庫進行比對,提供軟體發展業者能事先預防。目前台灣除了公共公共工程委會及金融保險主管機關有相關引因要求,政策上應同時也密切關注全球各國之SBOM發展,並透過各國相關政策、法規和指引等文獻了解目前各國對SBOM的想法和SBOM未來趨勢,也要避免造成軟體開發之人力、物力成本對於軟體資服業者太大壓力及衝擊。
目前台灣軟體發展上,已有不少資服業者發展或引進SBOM檢測服務,未來在發展上可參考國際政策發展及國外資服業者的作法,並有其他加值的資安防護機制(如弱點掃瞄、原碼檢測),以於安全應用系統開發周期(SSDLC)進行加強檢測,讓軟體開發及應用更受到安全保障。
封面圖片來源:
How ISVs Can Comply with SBOM Recommendations
參考資料來源:
1.Executive Order on Improving the Nation’s Cybersecurity (2021, May 12). The White House. https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
2.The Minimum Elements For a Software Bill of Materials (SBOM) | National Telecommunications and Information Administration. (2021). National Telecommunications and Information Administration. https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom
3.Cyber Safety Review Board Releases Report of its Review into Log4j Vulnerabilities and Response | Homeland Security. (2022, July 14). U.S. Department of Homeland Security. https://www.dhs.gov/news/2022/07/14/cyber-safety-review-board-releases-report-its-review-log4j-vulnerabilities-and
4.Federal Acquisition Regulation: Cyber Threat and Incident Reporting and Information Sharing. (2023, October 3). Federal Register. https://www.federalregister.gov/documents/2023/10/03/2023-21328/federal-acquisition-regulation-cyber-threat-and-incident-reporting-and-information-sharing
5.Cyber Resilience Act. (2022, September 15). Shaping Europe’s Digital Future.https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
6.「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (2023, July 28). 経済産業省. https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html
7.Pasetes, R. (1900). Completing the Transition to IPv6–OMB M-21-07 (No. FERMILAB-SLIDES-166-CCD). Fermi National Accelerator Lab. (FNAL), Batavia, IL (United States).
8.The State of Software Bill of Materials (SBOM) and Cybersecurity Readiness. (2022). The Linux Foundation.https://www.linuxfoundation.org/research/the-state-of-software-bill-of-materials-sbom-and-cybersecurity-readiness
9.行政院公共工程委員會 函 - 檢送本會與數位發展部研訂之「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」及「資訊服務採購作業指引」,請查照並轉知所屬(轄)機關 (2023, Sep 25). 政府電子採購網.https://planpe.pcc.gov.tw/prms/explainLetter/readPrmsExplainLetterContentDetail?pkPrmsRuleContent=75001760&_csrf=41c91031-1b1a-45e1-8814-ff2f59c93227
10.公告「適用於製造廠之醫療器材網路安全指引」(2019, Nov 22). 衛生福利部食品藥物管理署.https://www.fda.gov.tw/TC/siteListContent.aspx?sid=3787&id=32254
11.保險業辦理資訊安全防護自律規範(2023, Sep 07). 中華民國人壽保險商業同業公會與中華民國產物保險商業同業公會.https://law.lia-roc.org.tw/Law/Content?lsid=FL072726
周靜芳
2024-12-05
