企業軟體漏洞多 專家:慎用開源軟體

簡嘉佑 2022/06/21 14:51 點閱 16070 次
國家通訊傳播委員會委員孫雅麗21日於研討會呼籲,企業應建立完整的軟體清單,並慎重使用開源軟體。。(Photo by 簡嘉佑/台灣醒報)
國家通訊傳播委員會委員孫雅麗21日於研討會呼籲,企業應建立完整的軟體清單,並慎重使用開源軟體。。(Photo by 簡嘉佑/台灣醒報)

【台灣醒報記者簡嘉佑台北報導】企業軟體要健檢!叡揚資訊公司資安處經理李佳凌21日於研討會說,偵測系統已知常見漏洞(CVE),模擬駭客實施滲透測驗,都有助於企業改善資安;國家通訊傳播委員會委員孫雅麗透過實際案例指出,大眾電腦的「太陽能電站智慧監控」經安全檢驗後,發現37%的軟體存在漏洞。她呼籲,企業應慎重使用開源軟體(Open Source)。

開發軟體安全力

李佳凌說,物聯網時代的大門隨著全新技術發展而打開,同時也讓駭客更加橫行,目前軟體安全有四大任務,包括「程式碼安全」、「漏洞修復」「流程自動化」與「開發人員培訓」。

她以去年最大的資安漏洞意外「Log4j」為例說,曾有客戶反應確實有駭客針對Log4j進行攻擊,且至今仍有9萬多個應用程序暴露於該漏洞的風險中,呼籲各大企業加緊對此漏洞進行檢驗。李佳凌也指出,除了發現與修補漏洞之外,應更積極尋找開發階段植入安全基因之治本方法。

李佳凌指出,為了避免物聯網設備成為駭客入侵的破口,建議藉由自動化弱點掃描技術,偵測系統已知常見漏洞(CVE),並模擬駭客實施滲透測驗,協助公司改善企業的資安弱點。

此外,她說企業也可採行「軟體物料清單」(SBOM)。她解釋說,「就像鋁箔包有標明成分一樣,企業也應建立公司內部軟體的內容清單」,透過公開標明軟體內程式碼組成與來源,以利抓出潛在資安風險。

企業做軟體健檢

孫雅麗說,台灣雖然是硬體的強國,但未來的決戰點在軟體,只有加強資訊安全設施,才能確保產業發展的健全性。她透過案例分享,大眾電腦與軟體實驗室合作,檢測該企業於「太陽能電站智慧監控」,其中重要的工作就是組成軟體分析(SCA,Software composition analysis),找出該系統可能的軟體弱點。

她分享這次檢測結果說,該系統有37%的軟體是有漏洞,但大部分存在於老舊的系統中,而仍有許多企業出於時間或成本等問題,不願對系統進行更新。此外,孫雅麗補充,有將近一半軟體出現「未識別」的結果,可能與企業的編譯過程有關,恐成為駭客進攻的地方,提醒企業應特別注意。

接軌國際資安標準

孫雅麗呼籲,企業使用軟體時可以考量四點:一、「完整且確切的軟體清單」,內容包括開源軟體、第三方組件等;二、「建立軟體使用政策」,如使用開源資料時,須預防具風險的軟體;三、「確保軟體的可靠度」,過去BUG的嚴重程度、有多少BUG被修復、多少人在修復相關軟體等數據,都是相當值得參考;四、「記得備份與修復工具」。

她強調,軟體安全檢測分析的重要性除了提升產品安全性與可信度,也期望國家能透過實際案例,改善目前安全軟體開發不足的地方,產出供企業遵循的軟體開發指引,最後盼安全系統能與國際的資安標準接軌,並取得國外認證。