安全與合規

SBOM 雖說 VEX 並不盡然需要依賴於 SBOM，但在討論 VEX 之前，肯定必須先了解一下 SBOM（Software Bill of Materials, 軟體物料清單），因為這樣才能了解 VEX 的必要性和它所想解決的問題。 軟體物料清單提供了軟體組成的相關資訊。這些相關資訊會說明這些組成是由誰提供、由誰開發、包含哪些項目、何時建置和依賴訊息等訊息。這些資訊對於提升軟體的透明度相當有幫助。因為使用者能夠透過這些資訊了解該軟體所採用的套件或其他工具是否存在可被利用的漏洞而需要立即進行修補。 SBOM 之所以受到關注還是要歸因於從 2020 年後的三起重大的資安事件，包括 Solarwinds[1]、燃油管事件[2]和 Log4j[3]。這三個重大資安事件促使美國總統在 2021 年時簽署了行政命令，責令美國商務部和美國國家電信暨資訊管理局（National Telecommunications and Information Administration, NTIA）需要在 60 天內制定 SBOM 的最基本要件。雖然 SBOM 對提升透明度的確有所幫助，但它畢竟仍是一個靜態的資訊。軟體使用者仍需要從軟體供應者處取得該軟體相關組成的漏洞狀態，才能夠進一步確認當前軟體受到漏洞影響的狀態，而 VEX 正是提供此關鍵訊息的機制。

前言 前陣子在 DevOpsDays Taipei 2023 參加了一場 OST，該場討論的主題是《DevOps 與資安的平衡（ISO 27001）》，當中聊到了 DevSecOps 成熟度模型（DSOMM）時，有位與會者提到兩年前有人成功運行了 DSOMM，但現在那個方法已經失效，不確定現在組織要怎麼自己架設 DSOMM 的網站… （…突然感受到我該更新兩年前所寫的 DSOMM 文章了…🧐）於是這篇文章就出現啦！ 不過 DSOMM 的概念與組織如何運用與先前的介紹差異不大，所以本篇不會太著墨在 DSOMM 介紹，對於 DSOMM 有興趣的讀者可以先參考之前的介紹文：DEVSECOPS 成熟度模型（DSOMM）。而本篇主要會針對以下幾個變化進行介紹： DevSecOps 的成熟度級別 ISO 27001:2022 的對照 基於團隊的評估 自行架設 DSOMM 網站 一、DevSecOps 的成熟度級別 如同大多數的成熟度模型（例如：CMMI、DMM）將成熟度分為五個級別，今年 DSOMM 亦將成熟度從四個級別重新劃分為五個級別1：

你的企業是否早已有一套施行已久的 IT 服務管理（IT Service Management, ITSM）流程？ 以目前使用最廣泛的 ISO 27001 國際標準來看，ISO 27001 藉由全面性的指引協助企業建構資訊安全管理系統（Information Security Management System, ISMS），來達成資訊安全的三個主要目標 CIA： ISO 27001 基於 「規劃－執行－檢查－行動」（Plan-Do-Check-Act, PDCA） 循環過程來落地並且持續改善資訊安全管理系統，企業為了因應 IT 服務管理通常會設置專職團隊，並由該團隊推動企業內的資安治理，來確保企業所使用的資訊系統（內部服務）與所提供的資訊服務（外部服務）之安全性。該團隊亦是變更管理、稽核、資安事故的最後一道把關人。 有些經營決策者認為當 IT 邁向 DevOps 轉型時，只要將 DevOps 套上既有系統性的資安管理就可以快速地實現 DevSecOps。然而，傳統資安有幾個顯著 DevSecOps 落地的阻礙：

以客戶為中心是每個成功的企業所努力的方向！為了能夠更了解客戶，企業無不竭盡全力留存客戶的相關訊息，並且希望從中了解客戶的需求。隨著資料的範圍與量的增長，個資外洩所引發的企業風險正在慢慢地累積！ 可曾思考過或許你並不需要承擔如此大的風險？ 其實，企業可以把握 Privacy by Design (隱私納入設計) 的原則，並且將隱私融入DevOps 來有效地去除風險！ Privacy by Design (隱私納入設計) Privacy by Design 的概念是在 90 年代，由 Ann Cavoukian 博士所提出。從 GDPR 將其納入條文的作為，便可以知道這概念對於個資保護的重要性，而它的確也為企業提供了如何在個資使用與商業價值之間取得平衡的方法。這個概念主要包含了七大原則： 主動而非被動，預防而非補救 (Proactive not Reactive, Preventative not Remedial) 隱私為預設原則 (Privacy as the Default Setting) 隱私內植於設計 (Privacy Embedded into Design) 雙贏思維與決策 (Full Functionality – Postive Sum, not Zero Sum) 資料全生命週期的保護 (End-to-End Security – Full Lifecycle Protection) 透明公開 (Visibility and Transparency – Keep it Open) 以使用者為中心，尊重使用者隱私 (Respect for User Privacy – Keep it User-Centric) 從這七大原則不難了解，個資保護並非期望企業犧牲商業利益，而是希望企業與其客戶之間的利益取得平衡。