軟體供應鏈清單(SBOM)的崛起:開啟安全與透明的新篇章─資策會 FIND科技報─智邦公益電子報
enews.url.com.tw · October 10,2024軟體供應鏈清單(SBOM)的崛起:開啟安全與透明的新篇章
FIND研究員:王勝弘
在當今複雜的軟體開發生態系中,安全性和透明度已成為重中之重。軟體供應鏈清單(Software Bill of Materials, SBOM)的概念,因此應運而生,旨在為企業提供一個全面透明的軟體組件清單,進而增強軟體供應鏈的安全性。
SBOM的定義與發展
SBOM就像是食品標籤上的成分標示,詳細列出構成軟體產品的所有組成元素,包括開源軟體、商業軟體以及自行開發的元件等。
圖1 SBOM組成示意圖
資料來源:本研究整理+DALL‧E繪製
SBOM的概念源於需要更好地管理軟體中所包含的各個元件,伴隨著開源軟體與第三方元件的廣泛使用,亦帶來了諸多挑戰,尤其是在安全性和合規性方面。為了應對上述挑戰,SBOM應運而生,使組織能夠識別和追蹤軟體元件及其依賴關係。
隨著時間的推移,SBOM的重要性逐漸被業界認識到。特別是在一些重大的軟體供應鏈攻擊事件之後,例如SolarWinds事件,SBOM成為提高軟體供應鏈安全的關鍵工具。上述事件凸顯透明度在管理供應鏈風險中的重要性,並促進了對SBOM標準和實踐的進一步發展。
SBOM的重要性
1.提高安全性
通過識別軟體中的每個元件,組織可以更有效地管理安全風險。這包括及時發現和修補漏洞,以及避免使用含有已知安全問題的元件。
2.確保合規性
SBOM能夠幫助組織確保其使用的軟體元件符合相關的法律,避免因為誤用造成侵權等合規性等風險。
3.軟體供應鏈管理
SBOM使組織能夠更有效地管理其軟體供應鏈,包括追蹤組件的來源、管理軟體更新,以增加軟體透明度,確保軟體供應鏈的完整性和安全性。
SBOM的挑戰與未來
儘管SBOM帶來了許多好處,但在實施過程中也面臨著一些挑戰:
1.SBOM管理
隨著軟體項目的增加,管理大量的SBOM資料成為一個挑戰。組織需要有效的工具和流程來整合和管理這些資料。
2.標準化
業界有SPDX、CycloneDX與SWID Tags等格式,不同組織之間的資料交換與轉換議題變得複雜。
3.安全與隱私
在產生和共享SBOM時,必須考慮到安全性和隱私保護。不當處理SBOM資料可能會導致敏感資訊之洩漏。
封面圖片來源:DALL‧E繪製
參考資料來源:
- https://www.ntia.gov/page/software-bill-materials
- https://www.cio.com.tw/the-key-angle-and-recipe-for-software-supply-chain-security-sbom/
- https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom
- https://www.nics.nat.gov.tw/DigitalResilience.htm?lang=zh
- https://www.moea.gov.tw/MNS/doit/industrytech/IndustryTech.aspx?menu_id=13545&it_id=521
《專題文章》從WHAT和WHY談企業碳盤查之必要性
FIND研究員:吳韋伶
面對任何問題或挑戰前,必須先清楚其緣由及現況,進而探究主要影響因子,如此才能真正判斷並選擇適當對策來做出行動,而企業在面對碳盤查議題時也是一樣。本文將帶領大家從全球碳趨勢,看未來碳數據如何牽動產品價格競爭力(WHAT),並提出影響我國業者做碳盤查的主要三個原因(WHY),以此提醒企業應預先建構完整的碳資訊基礎,並思考如何應用創新工具或技術來有效進行碳盤查、碳查驗,更甚至碳費碳稅課徵上的碳申報。
為什麼會有碳盤查(WHAT)?
氣候變化問題首次成為聯合國大會討論議題始於1987年,之後關於氣候變遷、全球暖化及溫室氣體排放等議題逐漸受到國際社會高度關注,聯合國為回應氣候變遷等重點議題,歷經多次會議及多國談判,該委員會於1992年提出並通過聯合國氣候變化綱要公約UNFCCC。為積極有效落實,該公約規定每年必須在氣候變遷這項議題上召開一次締約國大會COP,其中最廣為人知的二個氣候協議《京都議定書Kyoto Protocol》和《巴黎協定Paris Agreement》,便是出自於此。
《京都議定書》於1997年的日本京都COP3大會上通過,宣布於2005年生效,協議中建立排放交易和清潔發展機制CDM,且允許參與國進行排放配額的交易,從而使「控制溫室氣體的排放」成為已開發國家的法律義務;《巴黎協定》則在2015年法國巴黎COP21大會中取代《京都議定書》,此協定被喻為第一個「真正的」全球氣候協議,無論已開發國家或開發中國家,都開始承諾會致力抑制不斷增加的溫室氣體排放,並逐漸確立減排目標與制定工作策略。
因此,世界各國(包含臺灣)正積極推出一連串的措施來應對氣候變化和減少碳排放的議題,例如歐盟「碳邊境調整機制」(Carbon Border Adjustment Mechanism,簡稱CBAM),目的在於防範「碳洩漏」,透過明訂出口國產品的碳含量,規範各大進口商的碳排放總量;美國「清潔競爭法案」(Clean Competition Act,簡稱CCA), 規定無論是在美國國內生產製造的商品,亦或其他國家進口的應稅產品,碳稅的初始價格都是每噸55美元,並從開始實施後的隔年起以每年的通膨率加上5%為價格漲幅;以及因應我國2021年宣示「2050淨零轉型」而做的《氣候變遷因應法》立法,要求主管機關須參考聯合國氣候變化綱要公約及相關國際決議,每四年檢討一次,每五年一期設定階段管制目標。
圖1.碳盤查大事記
圖片來源:《金屬製品產業碳盤查指引-基於國際碳關稅要求》,資策會數轉院
為什麼要做碳盤查(WHY)?
面對大環境的氣候問題,國內外對於碳的管制也越趨嚴格,陸續以碳定價及配套法規的制定來確保企業開啟減碳工作,間接影響各大跨國品牌針對碳議題給出減量承諾,以邁向淨零為終極目標做自我或供應鏈的碳管理;而在減碳之前,企業碳盤查能力將是重要基礎要素,必須先掌握自身的碳排放量,找出碳排主要來源後,才能有效針對排放源做減量空間評估,逐步減少販售產品的碳含量,方能將產品外銷時會面對到的碳關稅之衝擊及影響降到最低。在這樣的背景之下,我國企業為什麼要做碳盤查的主要三個原因有:
原因一:國際碳管制趨嚴
為達到所謂的減排目標、零碳經濟、阻止氣候暖化等,各國皆著手進行制定能源轉型與減碳目標政策,也紛紛喊出宣示或承諾口號。面對政府部門紛紛提出的量化減碳目標,對於其轄下或關聯企業來說,伴隨而來將是國家級的減碳行動與碳排管制,最衝擊的莫過於部分政府為有效帶動企業落實減碳工作,採取碳「定價」的抑制碳排經濟手段;根據世界銀行2023年碳定價趨勢與現況報告(State and Trends of Carbon Pricing 2023)指出,全球共有73項碳定價機制(包含碳稅carbon tax及總量管制排放交易ETS)實施中,約占全球溫室氣體排放量的23%,較2020年小幅成長,目的在於當實施碳定價可給予排碳行為一個價格訊號,讓碳排放量較大的企業生產成品隨之提升,進而產生減碳行動的改變,直接帶來國家總體碳排放量的減量效果。
原因二:國內淨零政策影響
我國2023年正式將《溫室氣體減量及管理法》修訂為《氣候變遷因應法》,不同於前身法案所訂定的內容,政府進一步明定5年為一期的溫室氣體排放量目標,讓淨零碳排不再僅有宣示,而是提升到法律規範展現落實的決心。同時,因應《氣候變遷因應法》施行的碳費機制,首波鎖定約287家年排放量超過2.5萬噸二氧化碳當量的碳排大戶,分階段對直接與間接排放源,依其溫室氣體排放量做徵收,課徵而來的碳費將專款專用於減排,例如增訂氣候變遷調適專章、發展減碳科技、成立氣候基金、強化排放管制及誘因機制促進減量等。
原因三:客戶對供應鏈的要求
淨零碳排是國際趨勢,也是國家發展目標,更是未來廠商在供應鏈上的競爭利器,近年來許多企業將舊有的產品製程進行改善,並將原料調整成得以回收的環保材質,除了降低成本外,對環境友善與減碳方面也有所助益;事實上,從國際市場動向可以發現,許多跨國大型企業為吸引客戶、建立品牌名聲,皆透過發表企業社會責任(Corporate Social Responsibility,即CSR)報告,將企業需肩負的碳管理工作延伸至其供應鏈上,更甚者是將產品碳足跡、供應商減碳機制納入採購標準,以此展現對於環境的貢獻績效。
參考資料:
1.封面圖片來源:Photo by Matthias Heyde on Unsplash
2.《金屬製品產業碳盤查指引-基於國際碳關稅要求》,數轉院,2023。
3.【填問卷.載指引】金屬製品產業碳盤查指引-基於國際碳關稅要求。網址:https://rise.iii.org.tw/rise_api/public/index.php/ssoLogin/toForm?username=Guest&password=Guest123&form=【填問卷.載指引】金屬製品產業碳盤查指引-基於國際碳關稅要求
傳統製造業靠AI躍身智慧製造
FIND研究員:江明 我國製造業在全球市場一直都佔有舉足輕重的關鍵地位,而在過去幾年,歷經疫情全球肆虐、烏俄戰爭、中美貿易戰等導致供應鏈中斷與危機狀況,迫使相關廠商開始思考如何透過新興科技來增加韌性,甚至運用最新AI人工智慧技術來升級轉型,>
沉浸式教案設計新手法,真正可發揮VR教學效果
FIND研究員:林佳錦 美國零售商龍頭沃爾瑪(Walmart),2017年在全美200多間分店成立沃爾瑪學院(Walmart Academy),在培訓中廣泛地使用了數位科技,將虛擬實境(VR)應用於第一線培訓。VR應用程式能針對不同的職務設定特定內容,>