華苓科技與資策會資安所合辦的「IC晶片供應鏈資訊安全標竿線上研討會」昨天(8/3)圓滿落幕。工業物聯網滲透事件層出不窮,為確保製造業在供應鏈安全與市場評比上勝出,本次活動深入在工控軟體風險之探討,由華苓科技 林文元產品經理以「軟體安全與晶片安全軟體開發管理平台」為題介紹「iSecure安全軟體開發管理平台」,側重軟體組成清單(SBOM,Software Bill of Materials)落實手法及 SSDLC 安全軟體生命週期管理。
從SBOM開始管理軟體安全
SBOM是軟體的組成元件與關聯表,它描述了軟體的組成架構、內容、單元相依性、生產與整合軌跡,利於找出是否曾使用易受攻擊的軟體版本以及哪些程式片段存在風險。透過SBOM得知軟體中的組成部分與相關風險,自然就可以做出更聚焦的防護措施。
製造業資安風控宜提早布局
林文元經理指出,如同《反脆弱》書中所提,每一件事情都會從波動(Variation)得益或承受損失,反脆弱則是避免這些損失,甚至因此獲利。而資安風控在台灣大量代工生產下只能算成本,卻是不可承受之脆弱,宜提早布局。如同2020年SolarWinds遭駭事件,該公司Orion Platform成為供應鏈攻擊的跳板,在開發階段即被置入後門程式,耗費4個月調查才揭露,顯示其複雜度。很多時候的工控安全,根源於不安全的軟體開發,Gartner去年的「軟體組成分析市場指南」報告中也建議通過安全掃描工具必須是軟體開發的標準流程,而非補強措施。
iSecure兼顧SBOM制定與安全開發流程管理
基於製造業供應鏈的潛在資安威脅,「iSecure安全軟體開發管理平台」兼顧軟體組成清單與開發流程的透明性而建立標準管理制度,是一套安全軟體開發生命週期 SSDLC的輔助平台,解決SBOM缺漏、安規難以一步到位、設計流程越複雜、溯源追蹤不易等問題,並避免增加額外投入成本。「iSecure安全軟體開發管理平台」建置SBOM追溯制度,自動化安全檢測模組、控管各階段合規查核項目,做好各項文件安控,是安全的晶片供應鏈不可或缺之一環。
