美國國家安全局發布「軟體記憶體安全須知」

  美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下:

  1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。

  2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。

  3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。

  搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。

相關連結
你可能會想參加
※ 美國國家安全局發布「軟體記憶體安全須知」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8956&no=57&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
DE Technologies起訴戴爾侵犯其商業模式專利

  一家擁有美國網路上國際貿易相關專利的小公司起訴個人電腦巨頭戴爾公司(Dell Inc., DELL)侵權。這家名為DE Technologies Inc.的公司向一家美國聯邦地區法院提起了上述訴訟。DE Technologies的專利於1996年申請,並於2002年被授予。該公司首席執行長Ed Pool表示,他們的最終目的是將其專利授權給跨國公司並收取這些公司網路上貿易額的一小部分作為特許費。但這些費用全部累積起來可能高達數十億美元。   戴爾是首家遭DE起訴的公司。戴爾對上述訴訟未予置評。截至今年1月30日的財政年度,戴爾414億美元的銷售額中有36%來自美國以外地區,該公司向個人及小型企業的銷售中,大部分是通過網路進行的。   DE Technologies擁有的是一個商業模式專利。此類專利涉及的是流程及方法,而不是構造或化學成份。美國上訴法院於1998年判決擁有此類專利是合法的以後,許多公司開始申請此類專利。但批評人士認為許多商業模式不應被授予專利,專利應被授予那些新穎及非顯而易見的發明。

世界61個個資保護主管機關發布聯合聲明,避免AI生成私密影像危害兒少安全

61個來自世界各國及歐盟之個資保護主管機關於2026年2月23日發布「AI生成影像及隱私保護聯合聲明」(Joint Statement on AI-Generated Imagery and the Protection of Privacy),旨在警示AI生成影像工具之開發者與使用者,未經當事人同意生成逼真私密影像及有害內容,不僅可能侵害個人隱私或名譽,亦可能嚴重威脅兒少安全。 本聯合聲明是在全球隱私大會(Global Privacy Assembly)國際執法合作工作小組(Internal Enforcement Cooperation Working Group)協調下所發起。其內容強調AI生成影像因廣泛融入社群媒體平臺,更易對兒少造成網路霸凌或剝削等潛在危害,呼籲開發及使用AI生成內容系統時,應遵循隱私與個資保護規則,並注意未經同意創建私密影像在某些國家可能構成刑事犯罪。 針對AI生成內容系統之開發者與使用者,聯合聲明提出下列基本指導原則: (1)實施健全的防護措施,避免濫用個人資料及未經同意生成私密影像或其他描述兒少之有害內容。 (2)確保透明度,有意義地揭露AI系統之功能、安全措施、可接受之用途及濫用後果。 (3)提供有效且易於使用之機制,以接收並快速回應移除有害內容之請求。 (4)向兒童、家長、監護人及教育工作者提供清晰、適齡之資訊,以應對特定兒少風險。 簽署聯合聲明之個資保護主管機關,將持續交流分享相關執法、政策推行與教育宣導經驗,共同努力應對全球隱私及兒少風險。

歐盟執委會發布「2016-2020年e政府行動計畫」並展開公眾諮詢

  歐盟執委會先前自2015年10月30日到2016年1月22日,針對其2016-2020年e政府行動計畫(eGovernment Action Plan)進行了公眾諮詢程序。執委會依據其公眾意見諮詢之初步分析,於2016年2月23日說明其2016-2020年的e政府行動計畫政策,將藉由公共行政管理措施(包含司法部分)的e化,實現歐盟數位單一市場的目標,提高跨境的互通性以及促進歐盟公民間的便捷交流。   歐盟執委會就該計畫目前有以下四項目標: (1) 透過資通訊之技術促進公共管理措施的現代化。 (2) 藉由數位化的公共服務提高跨境行動(cross-border mobility)的可能。 (3) 加強行政單位與歐盟公民及企業間的數位互動交流(digital interaction)。 (4) 推動數位化的關鍵措施。   相關監測及措施期程的指標,執委會將於未來幾個月內再為詳細之說明。而所有e政府行動計畫均應依循下列原則進行: (1) 數位化設定(digital-by-default):若其他可傳送服務之管道能選擇中斷服務或必須中斷服務時,行動措施應給予服務線上傳輸的特權。 (2) 跨境設定(cross-border by default):行動措施不應於歐盟內部市場製造新的跨境障礙。 (3) 一次性原則(once-only principle):行動措施應僅得於行政單位從未持有數據或資訊時,要求歐盟公民或企業提供該數據或資訊。 (4) 內含設定(inclusive by default):行動措施應促進所有歐盟公民或企業與公共行政單位的互動交流。 (5) 不保留原則(no legacy principle):超過15年的基礎設施或應用服務不再維護保留。 (6) 隱私及資料保護(privacy & data protection):所有數位化的公共服務皆應就個人資料之基本權利為完善的保護。 (7) 開放及透明化設定(open & transparency by default):行動措施應就重複使用及透明化為開放之設定。

英國政府公布「英國醫療器材監管的未來」公眾諮詢結果並確立未來監管方向

  英國藥物及保健產品管理局(Medicines and Healthcare Products Regulatory Agency, MHRA)於2022年6月22日公布「英國醫療器材監管的未來之公眾諮詢政府回應」(Government response to consultation on the future regulation of medical devices in the United Kingdom),確立未來醫材監管方向。本次諮詢收到將盡900件回應(民眾與業者大約各半),結果顯示民眾業者對於強化醫療器材安全監管的支持。   MHRA將強化MHRA的執法權力,以確保病患安全,並且關注健康不平等議題並減少AI偏見問題;其監管設計上會考量歐盟和全球標準,並致力於建立英國符合性評鑑(UK Conformity Assessed, UKCA)。MHRA於安全方面,將增加製造商、進口商與經銷商的責任,並要求有英國地址的負責人對瑕疵商品負擔法律責任(構成法律責任的要件與製造商同)。其亦將要求製造商賠償被不良事件影響的人、禁止行銷上使用引人錯誤之表示、導入醫材之單一識別碼(Unique Device Identifiers, UDI)與增加註冊所需提供之資料,且製造商須建置上市後不良反應監測系統並回報統計上顯著的不良事件趨勢。創新方面,MHRA欲增設「創新醫療器材上市管道」和「軟體醫材上市管道」,以顧及創新與軟體醫材特殊需求。針對一般軟體醫材(software as a medical device, SaMD)與人工智慧軟體醫材(AI as a medical device, AIaMD)的監管,MHRA僅欲於法規中增加「軟體」的定義,其他規範將由指引的形式公布。此外,其將AIaMD視為SaMD的一種,並不會額外訂定AIaMD相關規範。

TOP