NIST安全軟體開發框架(SSDF),讓軟體開發安全上軌道─資策會 FIND科技報─智邦公益電子報
enews.url.com.tw · October 31,2024NIST安全軟體開發框架(SSDF),讓軟體開發安全上軌道
FIND研究員:李啟榮
在SSDLC安全軟體開發生命週期、SBOM軟體用料清單的重要性更被重視的當下,雖然有企業界開始導入採用,但仍需要一個具有公信力的可參考指引,供業界依循安全開發流程。於是美國NIST就制定了「安全軟體開發框架(Secure Software Development Framework, SSDF)」,讓安全軟體開發理論和實務流程加以整合,以利軟體開發業界能有效依循,來產出高安全性的軟體。
技術發展背景
自從SSDLC開發工法問世後,讓原有的瀑布式/敏捷式開發工法追加了安全控管要素,力求每個開發流程都萬無一失,產出安全又滿意的軟硬體產品;另外美國曾因為Log4j重大事故所帶來的軟體套件安全性衝擊,促使美國政府推動SBOM並列入政府軟體供應商需求,藉由讓軟體組成透明化,來預防潛在的漏洞、間接增強安全性。
NIST推動的SSDF,除整合安全軟體開發所需的流程需求,以及安全開發工具要素外,也考量坊間許多安全軟體工法的特點,例如OWASP SAMM、Synopsys BSIMM等流程,將安全軟體開發實踐到資訊科技(IT)、工控系統(ICS)、網路─實體整合系統(CPS)、物聯網(IoT)等情境與產品。
技術介紹與應用現況
NIST SSDF共有四個實務(Practice)類別,作為軟體開發者的預備方向:
- 組織預備(PO):開發團隊應做好人員、流程和技術等層面的準備工作
- 軟體防護(PS):開發團隊手上的所有軟體元件,應防止被竄改,或遭未經授權之外部存取
- 產出絕佳安全軟體(PW):當產出軟體成品時,應確保最低程度的軟體漏洞發生
- 對漏洞做出因應措施(RV):開發團隊應留意軟體成品發生的已知漏洞,並防止類似事故在未來再次發生。
軟體開發團隊藉由落實上述四種實務,可望結合SSDLC和SBOM,確保軟體開發過程中的風險和品質管控,同時提高流程和產品的安全係數。
未來展望/挑戰
藉由導入SSDF,可以將SSDLC和SBOM的理論進一步具體化實踐,從開發源頭密切把關開發流程和軟體原料的安全性,並不斷因應日新月異的威脅加以動態補強改善,進而為下一世代的產品擘劃更為安全的藍圖,以便應付舊世代產品淘汰後,新世代產品青黃不接的空缺,所產生的安全空窗期,來減少組織面、流程面、工具面等風險暴露,影響新世代軟體安全性。
封面圖片經圖庫123RF授權使用
參考資料
- Souppaya, M., Scarfone, K., & Dodson, D. (2022, February). Secure Software Development Framwork (SSDF) Version 1.1. doi:10.6028/NIST.SP.800-218
- 楊力學. (2022年9月21日). 從 SSDLC 視角簡介 FIPS 140-3 標準. 擷取自 2022台灣資安大會: https://s.itho.me/ccms_slides/2022/9/29/10333ec8-0dc1-403e-a38a-5281d57d1996.pdf
影響力科技標竿!瑞典金融新創Doconomy推出奧蘭指數與碳排計算器
FIND研究員:徐宗隆
瑞典金融科技新創公司Doconomy創立於2018年,以影響力科技為標竿,積極付諸於氣候變遷抗衡的投資項目。自始力求透過金融科技工具的開發,以教育與社會積極改造著手達成減碳方針。並透過與芬蘭奧蘭銀行﹝Ålandsbanken﹞、聯合國氣候變遷綱要公約組織﹝United Nations Framework Convention on Climate Change, 簡稱UNFCCC﹞與萬事達卡公司﹝Mastercard﹞共同合作,向世界展現金融知識、氣候變遷專業與支付科技所協同而擦撞出燦爛火花。
Doconomy推出碳排計算與評估產品係以不同查核主體為單位而做劃分。主體類別包括金融交易、個人生活方式、產品及企業。以下為Doconomy產品系列簡述:
金融交易碳排計算器 (Transaction Impact Calculator)
於金融交易碳排計算器所採納之奧蘭指數解決方案﹝Åland Index Solutions﹞係Doconomy與芬蘭奧蘭銀行偕手合資的結晶。其宗旨係為讓銀行業者、支付系統服務商及金融機構提供客戶以金融交易為單位所計算的碳排﹝CO₂e﹞及耗水﹝H₂O﹞衝擊評估指數。如此讓企業及消費者在明確釐清其消費、投資或生產活動所延伸之環境影響結果後,爾促使其採取有助於減碳減水目標的行動,從而對全球氣候變遷與水資源貧瘠難題付出心力。
圖一、金融交易碳排計算器介面圖樣
圖片來源:https://doconomy.com/transaction-imct/
該計算器所使用的數據來源出自與該交易有關企業之公開數據,而計算方法論則係由安永會計事務所﹝E&Y﹞獨立驗證。另,該計算公式乃根據美國標普全球﹝S&P Trucost﹞模型技術所設計,融入超過50類特殊強度構建因素所計算出之碳排及耗水影響力指數。
目前採用奧蘭指數的國際金融機構包括法國巴黎銀行﹝BNP Paribas﹞、英國渣打銀行﹝Standard Chartered﹞、日本世尊信用卡公司﹝Credit Saison﹞。
生活方式碳排計算器 (Lifestyle Calculator 2.0)
生活方式碳排計算器係Doconomy與UNFCCC共同協力激盪的成果,專針對個人生活型態提供碳排影響評估的行動應用程式。
圖二、生活方式碳排計算器涉及交通、家用電器、食品等消費範疇
圖片來源:https://doconomy.com/transaction-imct/
其目的即為幫助使用者從認識個人生活實際碳排情形,進而促進做出有利於減碳生活型態的選擇。該碳排涉及領域涵蓋個人交通、生活用品、 鞋類、運動與文化、家用電器、衣服、交通等各類別的消費。
產品碳排計算器 (Product Impact Calculator 2030)
該產品目的為幫助製造業者與品牌商以最便捷之方式,計算出其個別產出或售出產品的碳足跡總量。計算範疇涵蓋自製造、運輸至最終販售點所涉之碳足跡。且亦透過碳排係數算出該產品零件、材料、包裝及運輸,甚至在製造階段耗能,所積累之總碳排量。簡言之,自產品的無到有,至市場販售,從中所有的碳足跡。其所採用的數據係由使用者主動輸入的。
圖三、透過產品碳排計算器顯示之丹寧牛仔褲產品,自製造到販售所連帶總碳排結果圖樣
圖片來源:https://doconomy.com/transaction-imct/
圖四、透過產品碳排計算器顯示之Nike跑鞋產品,自製造到販售所連帶碳排結果圖樣
圖片來源:https://doconomy.com/transaction-imct/
該計算器所包括之產品類別含鞋具、服裝、皮包及配件、家具、遊戲、家電用具、花園與寵物、運動與戶外、媒體、珠寶與手飾、玩具與嬰兒產品、嗜好與手工藝、書籍類。
企業碳排影響儀表(Corporate Impact Dashboard)
此產品目前仍處於開發階段,旨向讓銀行業者可幫助企業客戶,了解該企業營運所衍伸之碳排衝擊數據,以協助完成碳排盤查之義務。如此可釐清企業應所專注之減碳領域,以設定出行動計畫達成淨零指標。
延伸台灣產業應用
身為第三方服務服務顧問角色的資策會近來為協助達成國家2050淨零排放目標,欲將類似Doconomy碳排計算器之概念積極運用在智慧農業與公民生活碳足跡計算領域中。冀望以實際鼓勵機制的建置促使民間落實減碳措施,為匹敵全球暖化日漸嚴峻趨勢,付以赤誠又奏效之行動。
封面圖片來源: https://doconomy.com/transaction-imct/
參考資料來源:Doconomy官網:https://doconomy.com/transaction-imct/
《專題文章》人工智慧與個資保護
FIND研究員:宋佩珊 壹、前言 近年人工智慧(Artificial Intelligence, AI)領域再次引領潮流,近期最引人注目的新聞即是Open AI所開發的ChatGPT,,然而同時間也引起各界熱烈討論人工智慧未來可能對人類社會造成何種影響。 >
全息投影將不再只出現在科幻片!AI生成技術促使3D投影更逼真
FIND研究員:郭力瑋 1977年的電影星際大戰(Star Wars)震撼了全球,片中令影迷津津樂道的技術之一「全息投影」引起廣泛的討論,當時平面投影技術已經發展了百餘年,民眾依然只能透過平面的投影布幕看到平面影像,也難怪全息投影效果在當時的觀眾心中留下了深刻的印象。 >