開源社群早在做的事,政府終於跟上!資安重災區美國推動將「BOM 物料清單」管理概念延伸至軟體採購,公開標明軟體內程式碼組成與來源,以利抓出潛在資安風險。

作者:林冠廷 | 編輯:OCF Lab|

Photo by Kevin Ku on Unsplash

最近一年來,全球許多政府機關、大型企業所用的軟體都遭受嚴重的駭客攻擊。
2020 年底駭客入侵 SolarWinds 公司 Orion Platform 的產品,美國商務部、財政部、太空總署等數千個政府機關和五百大企業都難逃一劫。今年又發生 Microsoft Exchange 電子郵件伺服器漏洞遭攻擊、美國最大燃油廠商 Colonial Pipeline 被勒索軟體攻擊等事件,讓各國公私部門的資安人員人心惶惶。面對這麼多起重大的資安事件,該如何加強防護措施,把關軟體安全?資安專家和美國白宮皆指向一個解方:把軟體的組成透明化

建立軟體版的食品標示,用透明性對抗資安風險

今年五月,因應層出不窮的資安危機,美國白宮發出行政命令,要求所有向聯邦政府出售的軟體都必須提供「軟體物料清單」(Software Bill of Materials,簡稱 SBOM)。就像是食品標籤上的成分標示,載明軟體的組成、內部模組和完整的供應鏈;更具體來說,根據美國商務部和國家電信暨資訊管理局(NTIA)的公告,合格的 SBOM 在資料欄位上,至少必須涵蓋軟體內所有成分的供應商、名稱、辨識碼、版本、彼此間依賴關係、作者等內容。

SBOM 雖然無法立刻消除資安風險,但透過提高軟體的透明度,至少能讓買家在採購時做出安全性更高的選擇。舉例來說,若軟體中的某些模組是已知有資安風險的老舊版本,專家可以透過 SBOM 及早發現此潛在風險,要求軟體商改善或另覓它選。此外,有了格式經統整的 SBOM,也能讓開發者不須費力分辨軟體組成內容,對開發各式工具也許會更有助益。

為使這套標籤系統發揮最大效益,美國政府也要求各軟體廠商的 SBOM 使用標準化、機器可讀的資料格式,並支援跨軟體的自動化比對。如此一來,便能避免各家軟體廠商各自使用自己的 SBOM 格式,但卻無法交互檢驗彼此成分。除此之外,美國政府也設下即時更新、對於未知的部分誠實以告、易於取得資料等規範。一切都是為了讓軟體變得更透明。

深耕多年,開源社群已準備貢獻一臂之力

儘管 SBOM 並不針對開放原始碼的軟體,但是一般軟體內部組成之所以複雜極高,很大程度上也是因為開源軟體開放使用的特性,使得開發者可以自由組合來源不同的程式碼。故早在美國白宮發布行政命令多年以前,開源社群就已經積極制定 SBOM 資料格式的和開發相關工具。如同 Linux 基金會 Open Source Supply Chain Security 計畫執行長 David Wheeler 所說:「一直以來,我們的社群都致力創造相關的標準和工具,有助於各個組織因應最新的行政命令要求」。

過去十年,Linux 基金會投入制訂 SPDX(Software Package Data Exchange)標準,這個標準直接符合了白宮對於 SBOM 的格式要求,目前正在等待國際標準化組織(ISO)審核通過以成為國際標準。除此之外,Linux 還發起產業界應用 SPDX 狀況的調查、提供教育訓練,和開發 SPDX SBOM generator​​YoctoZephyr 等工具幫助組織自動產出 SBOM。此外,Linux 的 OpenChain 開源合規計畫中,除了協助企業在開源軟體應用上符合規範,也要求需有 SBOM 的管理流程。
由此來看,美國政府要求 SBOM 的作法,可說是回應了開源社群長期的努力;SBOM 破除軟體黑箱、把成分公諸於世的概念,也與開放原始碼的精神不謀而合。在台灣,雖然 OpenChain 台灣社群已開始關注 SBOM 議題,政府尚未有明確的立場或政策方針,僅食藥署針對醫療器材有相關的告示。在近年中國駭客日益嚴重的威脅下,台灣政府或許該更積極回應國際趨勢與開源社群的訴求,提升公部門軟體的透明性,以杜絕成為資安「受駭者」損及全民權益。


本文章授權條款採 創用 CC BY (姓名標示) 4.0


參考資料:
NTIA Releases Minimum Elements for a Software Bill of MaterialsWhat is an SBOM?
Linux Foundation Announces Software Bill of Materials (SBOM) Industry Standard, Research, Training, and Tools to Improve Cybersecurity Practices
What’s an ‘SBOM’ and what does it have to do with federal cybersecurity?
To prevent cyberattacks, the government should limit the scope of a software bill of materials
Interview with Masato Endo, OpenChain Project Japan
智慧醫材專案辦公室成立 如何助醫材打入國際?

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.