MJIB

































                   國家關鍵基礎設施




                                 軟體供應鏈                                 安全初探





               ◆ 國防大學兼任助理教授 ─ 張喻閔




                        美國頒布 EO-14028 行政命令與推廣軟體物料清單（Software Bill of

                   Materials, SBOM），藉此提高自身軟體供應鏈安全，進而協助國家關鍵基礎設
                   施提升資安管理機制，其相關法制及政策值得我國借鏡與推廣。







               關鍵設施軟體供應鏈安全日益重要                                  5 月，美國最大油管公司 Colonial Pipeline

                                                                遭勒索軟體攻擊，緊急關閉部分管道與 IT
                 2020 年 SolarWinds 事件，駭客通
                                                                                             2
                                                                系統，造成營運嚴重停擺。 相關案例使各
            過對雲端服務業者實施供應鏈攻擊，造
                                                                界重視軟體供應鏈安全，由於現今開源軟
            成美國政府和工業部門機密資料重大外
                                                                體大量應用，資訊專案軟體組成高度複雜，
            洩，2021 年 11 月 Log4j 漏洞（CVE-2021-
                                                                國家關鍵基礎設施之軟體安全，便格外受
            44228）事件，造成美國金融業者至少 400
                                                                到矚目。
                                                1
            多萬客戶之重要金融資料被竊。 2021 年


            1
               2021 年 12 月，廣泛出現於各應用程式的 Apache Log4j Java 有重大遠端執行漏洞，造成攻擊者能完全控制受影響系統。影響包括微軟
              Minecraft、蘋果 iCloud、Steam 等大型網站，Tenable 稱其為 10 年來最嚴重之漏洞。
            2   周峻佑，〈資安一周第 145 期：燃油供應商 Colonial Pipeline 遭勒索軟體攻擊，美國宣布進入緊急狀態〉，《iThome》，2021 年 5 月 11
              日，https://www.ithome.com.tw/news/144342。


         46 清流雙月刊