摘要這場工作坊以SBOM現在式與未來式:漏洞管理落地與國際趨勢展望為主軸,安排具實務經驗的業者分享產製與應用經驗。
資安署並表示,預計今年下半年度發布SBOM實務參考指引,作為產業導入相關作法的參考依據。
這場工作坊以SBOM現在式與未來式:漏洞管理落地與國際趨勢展望為主軸,安排具實務經驗的業者分享產製與應用經驗。 活動也從政策法遵、契約合規等面向切入,說明國際間對軟體供應鏈透明化的發展方向。
資安署說明,SBOM可理解為軟體的成分清單,功能類似食品包裝上的原料標示,能協助企業掌握產品使用哪些元件。 當相關元件被揭露存在漏洞時,企業可更快回溯受影響範圍並進行修補,以降低供應鏈風險。
隨著軟體開發大量使用開源元件與第三方函式庫,產品內部依賴關係日益複雜,漏洞追蹤也更加困難。 若底層元件出現資安缺口,企業若缺乏清楚的元件資訊,可能無法即時判斷自家產品是否受到波及。
資安署指出,歐盟「網路韌性法」已把SBOM建立與漏洞處置列為製造商法定義務,顯示國際規範正持續強化軟體供應鏈管理要求。 台灣也透過政策引導,鼓勵共同供應契約廠商提供SBOM等元件資訊,以提升政府採購軟體的資安品質。
資安署表示,建立SBOM已不只是資安建議,也逐漸成為企業參與國際市場與維持競爭力的重要門檻。 預計下半年推出的實務參考指引,將提供各界導入時的參照方向,協助國內產業與國際規範接軌,並強化在全球供應鏈中的信任基礎。
※ 圖片為示意畫面,僅用於新聞報導與合理使用
