美國CISA強化軟體採購安全：發布新工具與更新SBOM指引

美國網路安全暨基礎設施安全局（CISA）近期推出兩項重要措施強化軟體供應鏈安全：一是發布創新的軟體採購指引互動工具，二是更新軟體材料清單（SBOM）規範。這些舉措針對日益嚴重的軟體供應鏈威脅，為政府機構和企業提供更實用的網路安全解決方案。

CISA 推出軟體採購指引互動工具

CISA 發布了全新的「軟體採購指引：供應商回應網頁工具」（Software Acquisition Guide: Supplier Response Web Tool），這是一個免費互動平台，專為 IT 領導者、採購人員和軟體供應商設計。該工具將靜態的《政府企業消費者軟體採購指引》轉化為數位互動格式，顯著提升了使用便利性。

此工具的主要特色包括：將指引分解為較小且靈活的章節，根據用戶輸入提供客製化內容，並突顯各採購情境中最關鍵的安全問題。此外，它能為 CISO、CIO 等決策者生成可匯出的摘要報告，讓非技術背景的採購專業人員也能有效評估供應商的安全實務。CISA 公共事務主任 Marci McCarthy 表示，此工具展現了 CISA 提供實用、免費解決方案的承諾，大幅簡化了在採購各階段整合網路安全的過程。

SBOM指引迎來重大更新

CISA 同時發布了 2025 年 SBOM 最低要素指引更新版，針對聯邦機構提出更嚴格的軟體透明度要求。新規範要求 SBOM 必須包含元件雜湊值和授權資訊、創建 SBOM 的具體工具名稱、時間戳記，以及其他軟體識別符，讓防護人員能夠建立軟體供應鏈中各元件的完整視圖。

更重要的是，CISA 要求 SBOM 必須採用機器可讀格式，如軟體套件資料交換（SPDX）和CycloneDX，以促進自動化處理。

專家認為，新增的加密雜湊值要求解決了 SBOM 可操作性的重大障礙，因為過去無法確認軟體在 SBOM 生成後是否被竄改。透過要求元件雜湊值，SBOM 現在能明確識別每個元素，並與原始創建者的記錄進行驗證，建立了先前缺乏的不可否認性和信任層級，這對 SBOM 的實際運用至關重要。

業界反應：謹慎樂觀但存疑慮

儘管專家對新規範方向表示支持，但對實際執行層面仍有顧慮。Radiant 資訊安全長 Donna Ross 指出，她所接觸的大多數從業人員對實作存在疑慮，特別是在標準化和資訊分享方面。更強調，網路安全專業人員擔心在缺乏適當背景脈絡的情況下提供這些敏感資料。

Ross 表示，從業人員最不需要的是另一個缺乏明確使用案例的核取方塊，這只會增加不必要的行政負擔。儘管如此，業界對此持謹慎樂觀的態度，總體反應正面。但她指出，仍需在自動化、標準化、利益對齊、降低複雜性，以及平衡法規與實際可行性等方面投入更多努力。更呼籲 CISA 提供更具實用性的指導，例如特定行業指引、操作手冊和信任分享模式。

Ross 也承認 SBOM 仍需要更好的漏洞整合和自動化功能才能「真正具備操作性」，並指出同事們要求提供更具體的執行指南、更多針對人工智慧（AI）和軟體即服務（SaaS）使用案例的支援，以及協助驗證 SBOM 的工具。

持續挑戰與未來展望

自 2021 年聯邦最低標準 SBOM 首次發布以來，這個概念在資訊安全界被視為理論上的絕佳解決方案，但實務上卻難以實施。供應商普遍反對，認為相關法規過於繁瑣。經過四年發展，在聯邦機構帶頭推動下，各界已不同程度地採用 SBOM，但主要挑戰仍在於如何將 SBOM 提供的資訊轉化為網路安全團隊可實際操作的能力。

這些新措施展現了 CISA 持續致力於強化國家軟體供應鏈韌性。目前，軟體供應鏈弱點仍是重大網路攻擊的常見入口點，同時影響政府和私部門組織。透過數位化採購框架，CISA 幫助各規模組織採用更具風險意識的韌性採購策略。此工具與 CISA 的「安全優先需求指引」等倡議相輔相成，持續將安全設計（secure-by-design）和預設安全（secure-by-default）原則融入日常技術採購決策中。

原始《軟體採購指引》及其支援試算表已吸引超過 10,000 名用戶，下載次數逾 4,000 次，使用者包括聯邦、州、地方政府及追求更強安全實務的中小企業。轉為網路工具格式反映了市場對易於取得資源的需求增長，這些資源使組織能在不需深厚技術專業知識的情況下，採用更強健的採購實務。CISA 的 2025 年 SBOM 指引草案現正開放公眾評論至 10 月 3 日。

本文轉載自 DarkReading、InfosecurityMagazine、​MSSPAlert。