CISO 資安學院 高科技資安論壇
為防堵零日攻擊與軟體供應鏈攻擊,數位資安引進在全球市場備受好評的 Seal Security,不僅可協助企業找出應用程式的開源元件弱點,更提供整個修補過程方式與一鍵修補工具,堪稱是企業軟體開發部門與資安團隊的強力幫手。
文/林裕洋
隨著資安意識抬頭,企業正大幅運用軟體物料清單(SBOM)等工具,找出應用程式中的開源元件及其弱點,但真正挑戰在於如何「修補」這些工具找出來的弱點。開源軟體最令人頭痛之處,在於企業無法自行修補弱點,只能等待社群或廠商提供新版本。根據 Veracode 報告指出,2020 年開源軟體修補弱點平均時間為 171 天,2025 年增加到 202 天,平均修補時間增加 47%。現今數位資安引進的 Seal Security,不僅可協助找出應用程式的開源元件弱點,更提供整個修補過程方式與一鍵修補工具,堪稱是企業軟體開發部門與資安團隊的最佳助手。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
數位資安總經理蘇隄說,早在 2005 年開始,數位資安即關注到源碼檢測的重要性,曾陸續引進 Static Analysis 以及 Software Composition Analysis等產品,協助企業修補開源軟體的漏洞。這次引進來自以色列的「Seal Security」,該公司產品主打「發現弱點之外,也能同步修補」,且企業無需為修補弱點而進行任何版本升級,亦無需修改自行開發的應用程式碼。此種「重新定義解決開源軟體安全問題的方式」,可大幅減少開源軟體相依性問題和作業系統升級的複雜性
主動生成修補軟體 降低零日攻擊機率
過往,開源軟體發現元件弱點或漏洞時,企業只能被動等待開源社群提供修補程式,很容易遭到駭客發動零日攻擊。而 Seal Security 備受企業肯定的關鍵,在於擁有自行生成弱點修補程式的能力, 首先技術團隊可針對企業現有版本的精確修補,即將修補程式「回溯移植」到企業使用的特定開源軟體版本上。搭配運用 AI 進行模擬、輔以人工確認,以確保修補程式在應用後不會產生任何相容性問題。
蘇隄指出,Seal Security 支援多種開源軟體,涵蓋開源應用程式、開源作業系統,以及所有開源容器映像檔的弱點檢測與修補。尤其該公司會提供一個易於部署的修補程式,大幅簡化修補流程,有助於降低修補弱點所需的時間和人力資源。如此一來,企業自然能解決開源軟體供應鏈問題,大幅降低遭受軟體供應鏈攻擊的機率。以 PayPal 為例,即透過 Seal Security 工具順利達成零弱點狀態目標,對公司整體安全帶來極大幫助。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
