美國正式推行「聯邦政府風險與授權管理計畫」

由美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, 簡稱CISA）自2024年以來，持續主導並規劃《SBOM網路安全之共同願景》（A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity）之指引訂定，作為保障網路安全之國際共通指引。於2025年9月3日，由日本內閣官房網路安全統括室為首，偕同經濟產業省共同代表日本簽署了該份指引，包含日本在內，尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門，皆同步完成簽署。以下為指引之重點內容： 1. 軟體物料清單的定位（Software Bill of Materials, 簡稱SBOM） SBOM於軟體建構上，包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。 2. 導入SBOM的優點 (1) 提升管理軟體弱點之效率。 (2) 協助供應鏈風險管理（提供選用安全的軟體，提升供應商與使用者之間溝通效率）。 (3) 協助改善軟體開發之進程。 (4) 提升管理授權軟體之效率。 3. SBOM對於利害關係人之影響 (1) 使軟體開發人員可選擇最符合需求的軟體元件，並針對弱點做出適當處置。 (2) 軟體資訊的透明化，可供採購人員依風險評估決定是否採購。 (3) 若發現軟體有新的弱點，使軟體營運商更易於特定軟體與掌握弱點、漏洞。 (4) 使政府部門於採購流程中，發現與因應影響國家安全的潛在風險。 4. SBOM適用原則與相關告知義務 確保軟體開發商、製造商供應鏈的資訊透明，適用符合安全性設計（Security by Design）之資安要求，以及須承擔SBOM相關告知義務。 近年來軟體物料清單（SBOM），已逐漸成為軟體開發人員與使用者，於管理軟體弱點上的最佳解決方案。然而，針對SBOM的作法與要求程度，各先進國家大不相同，因此透過國際共通指引的簽署，各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計，以確保所有類型的資通訊產品（特別是軟體）之使用安全，也鼓勵製造商為每項軟體產品建立SBOM並進行管理，包含軟體版本控制與資料更新，指引更強調SBOM必須整合組織現有的開發與管理工具（例如漏洞管理工具、資產管理工具等）以發揮價值。此份指引可作為我國未來之參考借鏡，訂定相關的軟體物料清單之適用標準，提升政府部門以及產業供應鏈之網路安全。

　　歐盟執委會於6月公布新的一般策略架構（Common Strategic Framework，CSF），在歐盟第七期研究架構計畫（FP7）於2013年告一段落後，CSF鎖定的研發策略方向仍會繼續，然此同時也引發一些不同的意見。為此執委會於6月間邀集產官學研進行討論，並於6月底揭示了新的計畫—Horizon 2020—。 　　歐盟執委會早於2011年初即發佈歐盟競爭力白皮書，揭櫫了未來新一期研究架構計畫之政策方向，其對於現有政策結構與資助機制有不小的衝擊。 　　新的CSF以氣候變遷、能源、健康與中小企業為研發資助之主軸，而為瞭解並蒐集各界包括大學、國有研究機構、各國政府以及企業界的意見，執委會於今年2月間發布了意見徵詢綠皮書以預先蒐集各界意見。根據執委會的規劃，新的CSF除要求教育體系應跟隨業界研發人才需求的腳步外，更鼓勵中小企業未來投入創新活動，因為執委會發現，歐洲的企業研發投資經費總額，僅有日本和南韓的一半。 　　歐盟執委會表示，氣候變遷、能源、健康與中小企業為未來研究資源資助與投入的方向，以呼應歐洲民眾的期待。此外，針對目前計畫所存在的行政效率不彰、缺乏透明性及計畫遲延等問題，也將列入未來改善重點，為此，歐洲議會已於6月進行FP7期中檢討時通過解決方案，日後將靠各國分別於歐盟及國家層級的計畫執行與管理中落實。 　　Horizon 2020計畫將於2014至2020年間斥資800億歐元於研發與工作機會的創造，以提升歐盟競爭力，後2013時期（post-2013）歐盟則將致力於化解計畫執行的分歧，確實協調各國投入新計畫的步調一致性。

　　美國加州北區聯邦地方法院，於去年（2017年）12月5日做出關於雇員刪除其由公司提供電腦中與公務無關資料是否屬電腦犯罪之判決（United States v. Zeng, 4:16-cr-00172（District Court, N.D. California. 2017）.）。 　　該案情為曾（Zeng）氏為避免其竊取自家公司商業機密行為被揭發，而逕自刪除其在公司提供筆記型電腦內之相關資料。而嗣後仍然被公司發現並報案，於此偵查單位FBI則以曾氏違反電腦詐欺及濫用法案（Computer Fraud and Abuse Act，下稱CFAA）中「未經授權而毀損他人電腦（18 U.S.C. § 1030（1984）.）.」以美國政府名義（下稱控方）起訴曾氏刪除其犯罪證據之行為。 　　對於該控訴，被告曾氏以被刪除之電子紀錄與其業務無關，非為公司所有財產為由作為抗辯。此外曾氏同時以其他判決主張毀損電腦之定義應係指由外部傳輸行為所致（如駭客行為），電腦使用者自己刪除行為應不包含之，以及控方未舉證其刪除行為將導致公司有不可回復或無法替代之損害作為抗辯。於此，控方則以刪除行為不應以內容而有所區分作為回應。 　　在審理期間，承審法官多納托（Donato）氏除參酌控辯雙方證詞外，並特別詢問控方律師指控內容是否會對一般大眾造成其在公用電腦中刪除同類資訊上之顧慮。而控方則以曾氏行為屬特殊情況作為答辯。最後，多納托氏則以控方主張將造成社會恐慌以及控方未提出被告刪除資料行為究竟對公司有何實際損害，判決被告無罪。

　　大多數於iTunes(蘋果電腦販售數位音樂的商店)販售的數位音樂，將被移除音樂上的數位權利管理措施(DRM)。iPod的製造者在2009年1月6日發表聲明，將於iTunes販售多元化價格的音樂，價錢將介於美金$0.76和1.3元之間。著作保護軟體(copy-protection sofeware)同時也稱為DRM「數位權利管理措施」(digital right management)，此項措施就像一個標籤記號，其設計是為了預防人們非法下載音樂，並且同時避免他們複製音樂於其他的電子裝置，而導致降低銷售量。   　　iTunes將移除八百萬首歌曲的數位權利管理措施。蘋果電腦的執行長Steve Jobs早在2007年2月公開呼籲知名唱片公司放棄數位權利管理措施，但唱片公司藉此希望iTutes改變以一首歌曲固定價格美金$0.99元的規定，用以多元化的價格販賣歌曲作為交換的條件。 另外，iTunes提供消費者一個簡單的方式，只要在每首音樂多付美金$0.3元，或者是多付每張專輯價錢30%的金額，即可將原先買到的音樂換為移除數位權利管理措施的音樂。Steve Jobs說到，我們十分興奮可以在iTune提供消費者沒有數位權利管理措施的音樂，使用iPhone 3G的消費者能夠在任何地區、任何時候以同樣的價錢去下載音樂。iPod Touch Wifi的使用者同樣也可以在App Store(蘋果電腦官方線上商店)去買到同樣無數位權利管理措施的歌曲 。