美國國家安全局發布「軟體記憶體安全須知」
美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下:
1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。
2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。
3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。
搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
鄭岱宜
法律研究員 編譯整理
NSA Releases Guidance on How to Protect Against Software Memory Safety Issues, National Security Agency, https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3215760/nsa-releases-guidance-on-how-to-protect-against-software-memory-safety-issues/ (last visited Jan. 30, 2023).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,科技法律研究所,2022/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日︰2023/01/30)。
國際再生能源總署於(International Renewable Energy Agency, IRENA)2022年3月13日發布「能源終端使用部門:綠氫憑證」(Decarbonising End-use Sectors: Green Hydrogen Certification)研究報告,說明綠氫的部屬與使用,以及國家、區域與國際綠氫市場的發展將取決於追蹤制度的建立與接受程度。 太陽能或風電等再生能源將水電解為氫氣與氧氣後,可轉換為氫能,且因產氫過程不排碳,故此類氫能稱為綠氫。為降低溫室氣體排放、解決溫室效應與極端氣候等問題,綠氫與來自綠氫的合成燃料,在追求減少碳排放的能源轉型中扮演關鍵地位。 該報告概述了綠氫憑證制度的技術考量以及創建此類工具所需面臨的挑戰,並對政策決策者提出關鍵建議,旨在建立具備國際認證標準的綠氫追蹤制度——綠氫憑證。 綠氫憑證是指生產設備業者、貿易商及供應商等能源市場參與者,向國際再生能源憑證相關組織或當地政府登記取得其生產過程中所使用的能源來自於綠氫之證明。消費者可以透過該憑證識別綠氫的來源,並可行使相關權利。 為確保綠氫憑證及其追蹤制度達成綠氫行業既定脫碳目標,該報告提出十點建議:(1)明確「綠氫」之定義;(2)建立標準,確保綠氫電力生產來源安全可靠;(3)確保憑證能為消費者及決策者提供足夠資訊;(4)簡化行政程序,減少行政負擔;(5)實施具備成本效益的憑證追蹤制度;(6)建立適當的控制機制避免濫用或缺乏透明度;(7)應考量結合既有制度;(8)避免跨國交易時重複頒發不同國家之憑證(9)利用綠色金融標準鼓勵遵守憑證要求;(10)促進國際合作,建立全球共通之標準與規則。
BFI和英國電影電視慈善機構設立Covid-19緊急救濟基金近期,Netflix向Covid-19影視緊急救濟基金捐贈100萬英鎊,並由電影電視慈善機構與British Film Institute(BFI)的支持下進行管理,目的是向在英國各地因停產而直接影響之在職工人和自由職業者,提供緊急短期救濟。BFI和電影電視慈善機構本身並沒有直接將資金投入基金,而是希望觸發第三方的投資。目前,該基金會正制訂確切之資格標準及個人資助水平,針對從事製作,發行和展覽的人員開放救濟。 此次Netflix向Covid-19電影和電視緊急救援基金會及全球其他組織的捐款旨在為失業人員提供緊急救濟,其原創系列副總裁安妮·門薩表示:“我們很榮幸與BFI和電影電視慈善組織合作,為電視和電影製作中受災最重的工人提供支持。從電工到木匠,從髮型和化妝師到司機的英國工作人員一直對Netflix的成功至關重要,我們希望在現在這個艱難的時刻,給最需要支持的自由職業者提供幫助。” 面對來勢洶洶之Covid-19疫情,全世界之影視產業皆受到前所未有之調整,我國面對疫情,文化部亦已研擬短期抒困措施與中長期振興之因應方案,並研擬「藝文紓困及振興辦法(草案)」,就短期抒困方面,「藝文紓困補助」將補貼藝文事業、團體及個人之營運成本;長期振興部分則將藝文產業納入經濟部振興抵用劵之適用範圍可用於藝文展演、電影院等藝文消費。然目前我國文創產業之抒困措施仍以政府補貼為主,若為加速恢復產業運作,或許國內各藝文團體或協會亦可效仿英國BFI,自主建立振興與抒困機制,以利受重創之藝文從業人員維持生計。
日本Spam對策研究會即將公布最終報告 保護、分級與言論(上)