複選題

40. 在軟體供應鏈中的風險管理上， 有以下哪些方式進行資安預防及檢測？(複選)
(A) 軟體物料清單(Software Bill of Materials，SBOM)
(B) 原始碼檢測及防毒掃描
(C) IAS-99
(D) SEMI 197

總覽

在軟體供應鏈的風險管理中，常見的資安預防與檢測作法包括：

1. 軟體物料清單 (SBOM)：提供對所有第三方相依元件的詳細盤点，有助即早發現高風險套件【(CISA)】【(CISA)】。

2. 原始碼檢測及防毒掃描：透過靜態程式碼分析 (SAST) 及惡意程式掃描，能在軟體建置階段及時偵測漏洞與惡意套件【(jit.io)】【(JFrog)】。
   其他選項如 IAS-99 (實際為工業自動化控制系統安全標準) 與 SEMI E197 (半導體製造或硬體規格)，與軟體供應鏈的風險管控需求並不相符。

(A) 軟體物料清單 (SBOM) ✅

• 定義與角色：SBOM 是「軟體的成分清單」，列出所有開源與商用元件及其版本，作為漏洞管理與合規審核的基礎【(CISA)】。

• 在供應鏈安全的作用：有了 SBOM，組織可自動化比對 CVE 資料庫，迅速識別並優先修補受影響的元件，減少被未知或未記錄相依所帶來的風險【(OX Security)】。

(B) 原始碼檢測及防毒掃描 ✅

• 靜態程式碼分析 (Static Application Security Testing, SAST)：在程式碼提交或建置階段自動掃描易受攻擊的程式碼模式，可在開發早期「左移」安全，降低漏洞引入成本【(jit.io)】。

• 防毒掃描 (Antivirus/Malware Scanning)：於建置產物或元件庫中掃描已知惡意程式碼，透過多引擎或多重掃描（multi-scanning）技術，偵測嵌入式惡意軟體與供應鏈木馬【(opswat.com)】。

• 結合憑證：將 SAST 與惡意程式掃瞄整合到 CI/CD 管道，並在程式碼合併前阻擋高風險改動，提升 DevSecOps 流程的防禦深度【(FOSSA)】。

(C) IAS-99 ❌

• 錯誤原因：IAS-99（即 ANSI/ISA-99，現為 IEC 62443）為「工業自動化及控制系統 (IACS)」的網路安全標準，專注於製造業與 OT 環境的防護，並非用於軟體供應鏈風險管理的框架或工具【(維基百科)】。

• 領域差異：其規範重點在於現場儀控設備的分層區隔、系統整合與工控網路安全，與軟體建置期的元件盤點與弱點檢測無直接關係。

(D) SEMI E197 ❌

• 錯誤原因：SEMI E197 並非軟體標準，而多數情況下指的是「半導體機台或硬體配件的規格編號」，與軟體開發、相依元件檢測或漏洞管理毫無關聯【(TirShop)】。

• 適用範圍：SEMI 系列標準多用於晶圓製造、載具與機台介面等硬體領域，不涉第三方程式庫或供應鏈弱點評估。

結論

在本題中，正確的資安預防及檢測方式為 (A) SBOM 及 (B) 原始碼檢測及防毒掃描；而 (C) IAS-99 與 (D) SEMI E197 並非軟體供應鏈的風險管控工具或方法，故屬不正確選項。