39. 下列何者「不」是正確的軟體風 險管理控制方法？
(A) 第三方元件弱點管理
(B) 於合約中載明軟體開發之資安修補責任
(C) 定期巡檢軟體弱點與更新
(D) 透過第三方軟體庫進行更新

總結

有效的軟體風險管理控制方法應涵蓋以下面向：對第三方元件進行弱點管理 (盤點、檢測、監控)【(Palo Alto Networks, Secureframe)】；在合約中明確訂定開發者或供應商的資安修補責任，以保障後續維運落實【(cobblestonesoftware.com)】；以及透過定期弱點掃描與更新確保及時修補已知漏洞【(evolvesecurity.com, PurpleSec)】。相較之下，單純仰賴從第三方軟體庫更新，不一定能保證套件的可信度與安全性，反而可能引入供應鏈風險，故屬不正確的方法【(Ripjar, WIRED)】。

(A) 第三方元件弱點管理

• 盤點與稽核：建立完整的第三方元件清單，確保所有相依套件都在視範之中，以備進一步檢測與稽核【(Palo Alto Networks)】。

• 弱點評估：定期對元件進行弱點掃描與風險評估，辨識高風險元件並優先處置，以防止被惡意利用。此為軟體供應鏈安全的基石作法【(Secureframe)】。

(B) 於合約中載明軟體開發之資安修補責任

• 合約明確化：在與第三方開發商或供應商簽訂合約時，應明文規範其對安全漏洞的修補義務、時程與驗證程序，以避免因責任不清導致延宕風險【(cobblestonesoftware.com)】。

• 法律與合規：透過合約機制將安全責任制度化，並結合 SLA（服務層級協議）與罰則條款，提升供應商對資安維護的重視。

(C) 定期巡檢軟體弱點與更新

• 掃描頻率：根據組織 風險輪廓 與合規要求(如 PCI-DSS、ISO/IEC 27001)，安排每月至少一次的弱點掃描；對於高風險環境則考慮持續掃描【(evolvesecurity.com)】。

• CI/CD 整合：將弱點掃描與依賴更新納入 CI/CD 管道，自動化檢測與部署補丁，縮短從發現到修補的時間窗，滿足 DevSecOps 最佳實踐【(PurpleSec)】。

(D) 透過第三方軟體庫進行更新

• 供應鏈風險：公共或不受控的第三方軟體庫可能被植入惡意程式碼（如 Typosquatting、Dependency Confusion 攻擊），導致隱性後門或惡意軟體注入【(Ripjar)】。

• 可信度不足：除非採用受信任的私有倉庫並對外部套件進行簽名驗證，否則直接從第三方庫更新，無法保證套件的完整性與來源真偽。【(WIRED)】

結論：其中 (D) 透過第三方軟體庫進行更新 單一使用並不屬於正確的軟體風險管理控制方法，需配合倉庫代理、簽名驗證與內部審計等額外控管，才能滿足供應鏈安全需求。