![國家通訊傳播委員會委員孫雅麗21日於研討會呼籲,企業應建立完整的軟體清單,並慎重使用開源軟體。。(Photo by 簡嘉佑/台灣醒報)](/system/assets/images/000/071/765/big/%E5%9C%96%E8%AA%AA%EF%BC%9A%E5%9C%8B%E5%AE%B6%E9%80%9A%E8%A8%8A%E5%82%B3%E6%92%AD%E5%A7%94%E5%93%A1%E6%9C%83%E5%A7%94%E5%93%A1%E5%AD%AB%E9%9B%85%E9%BA%9721%E6%97%A5%E6%96%BC%E7%A0%94%E8%A8%8E%E6%9C%83%E5%91%BC%E7%B1%B2%EF%BC%8C%E4%BC%81%E6%A5%AD%E6%87%89%E5%BB%BA%E7%AB%8B%E5%AE%8C%E6%95%B4%E7%9A%84%E8%BB%9F%E9%AB%94%E6%B8%85%E5%96%AE%EF%BC%8C%E4%B8%A6%E6%85%8E%E9%87%8D%E4%BD%BF%E7%94%A8%E9%96%8B%E6%BA%90%E8%BB%9F%E9%AB%94%E3%80%82%E3%80%82%EF%BC%88Photo_by_%E7%B0%A1%E5%98%89%E4%BD%91%EF%BC%8F%E5%8F%B0%E7%81%A3%E9%86%92%E5%A0%B1%EF%BC%89.jpg?1655793495)
【台灣醒報記者簡嘉佑台北報導】企業軟體要健檢!叡揚資訊公司資安處經理李佳凌21日於研討會說,偵測系統已知常見漏洞(CVE),模擬駭客實施滲透測驗,都有助於企業改善資安;國家通訊傳播委員會委員孫雅麗透過實際案例指出,大眾電腦的「太陽能電站智慧監控」經安全檢驗後,發現37%的軟體存在漏洞。她呼籲,企業應慎重使用開源軟體(Open Source)。
開發軟體安全力
李佳凌說,物聯網時代的大門隨著全新技術發展而打開,同時也讓駭客更加橫行,目前軟體安全有四大任務,包括「程式碼安全」、「漏洞修復」「流程自動化」與「開發人員培訓」。
她以去年最大的資安漏洞意外「Log4j」為例說,曾有客戶反應確實有駭客針對Log4j進行攻擊,且至今仍有9萬多個應用程序暴露於該漏洞的風險中,呼籲各大企業加緊對此漏洞進行檢驗。李佳凌也指出,除了發現與修補漏洞之外,應更積極尋找開發階段植入安全基因之治本方法。
李佳凌指出,為了避免物聯網設備成為駭客入侵的破口,建議藉由自動化弱點掃描技術,偵測系統已知常見漏洞(CVE),並模擬駭客實施滲透測驗,協助公司改善企業的資安弱點。
此外,她說企業也可採行「軟體物料清單」(SBOM)。她解釋說,「就像鋁箔包有標明成分一樣,企業也應建立公司內部軟體的內容清單」,透過公開標明軟體內程式碼組成與來源,以利抓出潛在資安風險。
企業做軟體健檢
孫雅麗說,台灣雖然是硬體的強國,但未來的決戰點在軟體,只有加強資訊安全設施,才能確保產業發展的健全性。她透過案例分享,大眾電腦與軟體實驗室合作,檢測該企業於「太陽能電站智慧監控」,其中重要的工作就是組成軟體分析(SCA,Software composition analysis),找出該系統可能的軟體弱點。
她分享這次檢測結果說,該系統有37%的軟體是有漏洞,但大部分存在於老舊的系統中,而仍有許多企業出於時間或成本等問題,不願對系統進行更新。此外,孫雅麗補充,有將近一半軟體出現「未識別」的結果,可能與企業的編譯過程有關,恐成為駭客進攻的地方,提醒企業應特別注意。
接軌國際資安標準
孫雅麗呼籲,企業使用軟體時可以考量四點:一、「完整且確切的軟體清單」,內容包括開源軟體、第三方組件等;二、「建立軟體使用政策」,如使用開源資料時,須預防具風險的軟體;三、「確保軟體的可靠度」,過去BUG的嚴重程度、有多少BUG被修復、多少人在修復相關軟體等數據,都是相當值得參考;四、「記得備份與修復工具」。
她強調,軟體安全檢測分析的重要性除了提升產品安全性與可信度,也期望國家能透過實際案例,改善目前安全軟體開發不足的地方,產出供企業遵循的軟體開發指引,最後盼安全系統能與國際的資安標準接軌,並取得國外認證。