供應鏈攻擊防禦指南：SBOM、第三方風險管理與軟體供應鏈安全

前言：為什麼供應鏈攻擊如此危險？

2020 年 SolarWinds 攻擊事件中，駭客在 Orion 軟體更新包中植入後門，影響超過 18,000 個組織（包含美國政府機構）。2023 年 3CX 事件、2024 年 XZ Utils 後門事件持續顯示：攻擊者越來越傾向「攻擊供應商，再透過受信任的更新機制感染最終目標」。

對台灣企業而言，自身的網路安全可能已做得不錯，但只要使用了被植入後門的軟體或硬體，仍難逃攻擊。這就是為什麼「供應鏈安全」已成為 CISO 最優先的課題之一。

一、近年重大供應鏈攻擊事件

事件	年份	攻擊手法	影響範圍
SolarWinds Orion	2020	更新包植入後門 SUNBURST	18,000+ 組織含美國政府
Kaseya VSA	2021	遠端管理軟體 0-day + 勒索	1,500+ 企業
Log4Shell	2021	廣泛使用的 Java 元件 RCE	全球數十萬系統
3CX Desktop App	2023	供應商開發環境遭入侵	全球數十萬企業用戶
XZ Utils	2024	社會工程滲透開源貢獻者	潛在影響 Linux 系統

二、SBOM：軟體物料清單

什麼是 SBOM？

SBOM（Software Bill of Materials，軟體物料清單）是描述軟體中所有元件、函式庫、版本號與授權條款的清單，類似食品的「成分標示」。美國白宮行政命令（EO 14028, 2021）已要求聯邦政府供應商提供 SBOM，歐盟 CRA（Cyber Resilience Act）2024 年也明確要求。

SBOM 格式標準

格式	主導組織	特色
SPDX	Linux Foundation	ISO/IEC 5962 國際標準，最廣泛
CycloneDX	OWASP	資安導向，支援 VEX（漏洞狀態說明）
SWID	ISO/IEC 19770-2	政府/採購場景常見

企業如何建立 SBOM？

• 掃描工具：Syft、FOSSA、Black Duck、Anchore
• CI/CD 整合：在 Pipeline 中自動生成並存檔每次 Build 的 SBOM
• 漏洞對比：將 SBOM 與 NVD（國家漏洞資料庫）比對，識別已知漏洞元件

三、第三方風險管理（TPRM）

評估供應商的五個維度

評估維度	評估內容	工具/方法
資安認證	ISO 27001、SOC 2 Type II、CSA STAR	要求提供有效憑證
漏洞管理	修補時效、CVE 回應紀錄	SecurityScorecard、BitSight
存取控制	MFA、最小權限、特權帳號管理	問卷調查 + 合約條款
事件歷史	過去 3 年資安事件紀錄	公開資料庫 + 合約要求揭露
業務連續性	BCP/DR 計畫完整性	文件審查 + 演練紀錄

TPRM 分級管理

• 關鍵供應商（存取核心系統/資料）：每年稽核 + 合約明定安全要求 + 定期滲透測試
• 重要供應商（存取部分系統）：每年問卷 + 認證要求
• 一般供應商：標準採購條款即可

四、軟體供應鏈防禦實務

1. 版本控制與更新管理

• 禁止自動更新生產環境的第三方軟體
• 建立內部軟體倉庫（Artifactory、Nexus），所有依賴從內部倉庫拉取
• 更新前在隔離環境測試，並驗證數位簽章

2. 開源元件安全

• 建立允許清單（Approved Component List）
• 使用 Dependabot / Renovate 自動追蹤依賴更新
• 評估套件維護者信譽：下載量、GitHub 活躍度、最後更新時間

3. 開發環境安全

XZ Utils 事件的教訓是：攻擊者用 2 年時間取得開源專案貢獻者信任後植入後門。對企業而言：

• 開發者工作站需與生產環境隔離
• Code Review 流程，關注不尋常的依賴添加或混淆程式碼
• 禁止開發者使用未審核的套件登錄源

五、硬體供應鏈安全

• 向原廠授權代理商採購，保留完整採購憑據
• 服務器/網路設備到貨後驗證韌體版本
• 重要設備啟用 Secure Boot 與韌體簽章驗證
• 廢棄設備資料銷毀：硬碟消磁或實體破壞