拒絕受駭!美國推行「軟體物料清單」公開軟體組成,採購更安心

開源社群早在做的事,政府終於跟上!資安重災區美國推動將「BOM 物料清單」管理概念延伸至軟體採購,公開標明軟體內程式碼組成與來源,以利抓出潛在資安風險。

作者:林冠廷 | 編輯:OCF Lab|

Photo by Kevin Ku on Unsplash

最近一年來,全球許多政府機關、大型企業所用的軟體都遭受嚴重的駭客攻擊。
2020 年底駭客入侵 SolarWinds 公司 Orion Platform 的產品,美國商務部、財政部、太空總署等數千個政府機關和五百大企業都難逃一劫。今年又發生 Microsoft Exchange 電子郵件伺服器漏洞遭攻擊、美國最大燃油廠商 Colonial Pipeline 被勒索軟體攻擊等事件,讓各國公私部門的資安人員人心惶惶。面對這麼多起重大的資安事件,該如何加強防護措施,把關軟體安全?資安專家和美國白宮皆指向一個解方:把軟體的組成透明化

專文

【數位公民雙週報】劇看完了,情況改善了嗎?開源配備守護消防員安全,讓火神安全下莊

經高溫燃燒後,物品釋放的毒性氣體是消防員安全六大危害之一;迷失在火場中更容易造成殉職遺憾。配戴開源小物 Pyrrha 可偵測毒氣和人員生命跡象,減少憾事發生機率。

整理撰文|陳廷彥、林冠廷;編輯|OCF Lab

火神不哭!開源專案改進消防員安全

週報

【數位公民雙週報】千年功夫換你看我 4 秒!義大利美術館「科技偵測」觀展者看作品時間

藝術的價值可以用實際數字評估嗎?科技偵測系統幫每個展品「算業績」,試圖調整展覽彌補 COVID-19 期間的金錢虧損。

整理撰文|陳廷彥、林冠廷;編輯|OCF Lab

借助巨量資料,義大利美術館要計算展品個別「業績」

(Photo credit by photosforyou on Pixabay)
週報

Linux 三十周年:從異端到主流, Linux 如何在開源中成長得頭好壯壯?

今年, Linux 的飛行控制系統把 NASA 的毅力號成功推上火星,此舉也讓 2021 被譽為「開源勝利」的一年。方值「而立之年」的 Linux 完成火星任務固然讓人感動,但更好奇的是,怎樣的開源能量、營運模式,讓 Linux 在以商業為首的科技圈成長茁壯?本文將摘述其成長故事,也祝 Linux 生日快樂。

作者:陳廷彥 | 編輯:OCF Lab

(Picture on Linux Foundation)
專文

如何降低再犯率?Recidiviz 用資料分析助更生人與監獄不「再見」

作者:林冠廷/ OCF Lab

明尼蘇達大學感染疾病研究與政策中心網站指出,美國監獄在截至 2020 年 6 月 6 日之前,共有 4.2 萬筆 Covid-19 病例,是當時全國整體染病率的 5.5 倍;禍不單行的西岸俄勒岡州、加州等地更面臨森林大火。在一篇紐約時報的報導中,描繪監獄裡極不人道的場景:囚犯被迫轉移到其他已經人滿為患的監獄,肩並肩睡在行軍床或地板上,無論食物、淋浴與廁所都面臨短缺。

即使沒有 Covid-19 和天災帶來的影響,美國的監獄也面臨收容人數過多,難以提升品質與管理機制。

圖片來源:RODNAE Productions on Pexels
天下合作專欄

資安事件回應與管理 (五):評選總結與建議

撰文:Jason / 編輯:OCF Lab

全球疫情風險高居不下,在資訊世界裡的各種資安風險也從未缺席過。有鑒於「建立安全的數位環境」始終是 OCF Lab 的目標之一,我們轉載「節省工具箱」的 Jason Cheng 為代稱「C-Team」的團隊撰寫的研究報告,供同樣苦惱於提升人力資源分派效率的資安團隊借鑑。

本篇是系列主題專文的第五篇。

經過三種軟體方案的實際測試之後,我們回頭來整理各個方案的特點,並對照 C-Team 的需求來判斷那一款才是最適合他們使用。

專文

資安事件回應與管理 (四):開源專案管理系統 Redmine

撰文:Jason / 編輯:OCF Lab

全球疫情風險高居不下,在資訊世界裡的各種資安風險也從未缺席過。有鑒於「建立安全的數位環境」始終是 OCF Lab 的目標之一,我們轉載「節省工具箱」的 Jason Cheng 為代稱「C-Team」的團隊撰寫的研究報告,供同樣苦惱於提升人力資源分派效率的資安團隊借鑑。

本篇是系列主題專文的第四篇。

最後,我們來看看知名的專案管理系統 Redmine,著重在問題與專案管理等管理,便於同時進行專案與問題追蹤與排程調度等等,特別在軟體開發領域用途及廣,甚至它連自己的官網都是用 Redmine 建置起來的。

專文

資安事件回應與管理 (三):開源技術支援管理平台 CDR Link / Zammad

撰文:Jason / 編輯:OCF Lab

全球疫情風險高居不下,在資訊世界裡的各種資安風險也從未缺席過。有鑒於「建立安全的數位環境」始終是 OCF Lab 的目標之一,我們轉載「節省工具箱」的 Jason Cheng 為代稱「C-Team」的團隊撰寫的研究報告,供同樣苦惱於提升人力資源分派效率的資安團隊借鑑。

本篇是系列主題專文的第三篇。

接著來看另一款套件 CDR Link,它是一款標榜專注於安全領域的支援中心,尤其適用於社群、非政府組織 (NGO) 等團體。提供方便的連繫與議題追蹤的方便功能。

專文

資安事件回應與管理 (二):開源資安事件回應平台 TheHive

撰文:Jason / 編輯:OCF Lab

全球疫情風險高居不下,在資訊世界裡的各種資安風險也從未缺席過。有鑒於「建立安全的數位環境」始終是 OCF Lab 的目標之一,我們轉載「節省工具箱」的 Jason Cheng 為代稱「C-Team」的團隊撰寫的研究報告,供同樣苦惱於提升人力資源分派效率的資安團隊借鑑。

本篇是系列主題專文的第二篇。

首先來進行評估的方案叫做 TheHive,它是一個多種功能整合的資安事件回應平台,主要提供對於 SOC、CSIRT、CERT 與處理資安事件工作者使用,目的是希望降低工作負載以及快速的處理相關的事件。

專文