參、俄烏戰爭下的軟體供應鏈安全
2022.11.15
瀏覽數
1078
前言
2022 年的俄羅斯—烏克蘭戰爭是一混合戰爭(hybrid warfare)。除了實體戰事對抗外,外界最為關注的焦點無疑是雙方的網路攻防。據報導,戰爭爆發前後,烏克蘭多個政府部門與關鍵基礎設施遭到大規模的分散式阻斷服務(Distributed Denial-of-Service,DDoS)攻擊,並傳出遭到惡意軟體 Wiper 刪除政府機構與基礎設施的資料;烏國政府亦號召國內外「資訊科技(Information Technology,IT)大軍」,在網路空間展開反擊。[1]在戰事的脈絡下,軟體供應鏈(software supply chain)的安全受到重視。實際上,相關議題近年來在資安領域已廣被討論,著名案例如 2020 年牽連美國政府與科技公司甚廣的太陽風(SolarWinds)事件、2021 年中旬的殖民油管(Colonial Pipeline)事件、軟體測試服務業者 Codecov 被駭、託管軟體業者 Kaseya 遭襲與同年底的 Log4j 漏洞事件。然而,隨著俄烏戰爭的爆發,議題本質從資安的角度被轉置於更為嚴峻而複雜的國家安全與戰略的視角。各國政府與產業界擔心對手利用軟體開發特性入侵供應鏈並從事惡意行為,反思傳統軟體供應鏈流程中的「信任」(trust)以及開源軟體(open source)安全議題。本文回顧美國、歐盟以及產業界近年來對相關議題的應對措施;在未能擺脫安全不確定性的情況下,總體趨勢呈現供應鏈重組集團化、安全手段複雜化,以及軟體開發封閉化。
[1]Lauren Feiner, “Cyberattack Hits Ukrainian Banks and Government Websites,” CNBC, February 23, 2022, https://www.cnbc.com/2022/02/23/cyberattack-hits-ukrainian-banks-and-governmentwebsites.html; Joe Tidy, “Ukraine Crisis: ‘Wiper’ Discovered in Latest Cyber-attacks,” BBC NEWS, February 24, 2022, https://www.bbc.com/news/technology-60500618; Ukraine War: Ukrainians Announce the Launch of an ‘IT Army’ to Fight off Russian Cyberattacks,” euronews, February 27, 2022, https://www.euronews.com/next/2022/02/26/ukraine-war-ukrainians-announce-the-launch-ofan-it-army-to-fight-off-russian-cyberattacks.
全文連結:參、俄烏戰爭下的軟體供應鏈安全.pdf