美國國家安全局發布「軟體記憶體安全須知」
美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下:
1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。
2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。
3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。
搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
鄭岱宜
法律研究員 編譯整理
NSA Releases Guidance on How to Protect Against Software Memory Safety Issues, National Security Agency, https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3215760/nsa-releases-guidance-on-how-to-protect-against-software-memory-safety-issues/ (last visited Jan. 30, 2023).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,科技法律研究所,2022/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日︰2023/01/30)。
英國數位文化傳媒和體育部(Department for Digital, Culture, Media & Sport, DCMS)於2022年11月23日發布新聞稿,宣布英國與韓國共同簽署的資料橋接規則(The Data Bridge Regulation)於同年12月19日正式生效。在此之前,英國於2022年7月5日已與韓國個人資料保護委員會(Personal Information Protection Commission, PIPC)簽署資料適足性協議(Data Adequacy Agreement),以促進兩國未來進行資料傳輸。這也是英國在脫歐後,首次與其他國家簽訂的資料協議,而依據過往兩國的數位貿易統計資料,本次協議預估將帶來超過14.8億英鎊的商機。 英國DCMS部長更進一步表示,未來將積極與其他國家的戰略夥伴,開展資料經濟商機。英國於聲明中強調參與全球跨境隱私規則論壇(Global CBPR Forum)的決心,以加速資料共享、促進創新與產學研究,聲明摘要如下: 1、本協議為加強英國與韓國資料共享的里程碑,其宗旨為創建更值得信賴的資料共享環境,以及共創更安全的資料傳輸方式。 2、本協議耗時約一年完成討論與擬訂,並期待能透過該協議,深化並擴展英國與韓國之間的資料夥伴關係。 3、英國與韓國政府承諾將促進資料在國際商業、創新及研究等領域的發展。在加強個人資料保護的前提下,促進資料的合理利用。 4、在資料自由傳輸的基礎上,本協議將提供更完善且可持續推動的全球資料生態系統。雙方政府承諾共同改進數位時代下個資料保護框架,如英國發布國家資料戰略(National Data Strategy)、修訂UK GDPR相關規範,以及韓國PIPC提出個人資料保護法部分條文修正案等具體措施。 英國政府肯認應與其他戰略合作夥伴開展多邊倡議,如參與全球跨境隱私規則論壇(Global CBPR Forum)及經濟合作暨發展組織(OECD),共同推動可信賴之政府存取資料(Trusted Government Access to Data)的目標。
買回用戶迴路的另一種選擇 歐盟法院裁定連結未授權影音串流網站之多媒體播放器違反著作權指令歐盟法院裁定連結未授權影音串流網站之多媒體播放器違反著作權指令 歐盟法院於2017年4月26日就Stichting Brein v Wullems案作出裁定,依據2001年的「歐洲議會與執委會關於資訊社會中著作權及著作鄰接權調和指令(Directive No. 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society)」,認定販售多媒體播放器,其上安裝附加軟體使用戶可透過建立好的選單,連結到含有未獲著作權人同意影音授權的第三方串流網站之行為,符合著作權指令中「對公眾傳輸(communication to the public)」的定義。歐盟著作權指令第3條第1項並規定,會員國應提供著作權人授權或禁止任何對「公眾傳輸」其作品的權利,包含使用有線或無線的途徑使公眾可以任意地在任何時間地點接觸這些著作。 歐盟法院指出「公眾傳輸」的概念應包含兩個部分:「傳輸行為」以及「公眾。「傳輸行為」包含了各種形式的傳輸或再次傳輸,不管是透過有線或是無線;並且只要是讓公眾可得接觸作品的行為,即構成「傳輸行為」。至於「公眾」的意義為不特定的多數人,並應考慮潛在接觸用戶的可能性,且不僅是從單一時點接觸用戶多寡評斷,而是應觀察連續性累積的情況。 歐盟法院認定此販售多媒體撥放器之行為,考量該行為對於該著作一般利用的影響,對著作人合法權益產生不合理的侵害因而不符合該指令的重製權例外,故對著作權產生侵害。
OASIS網路標準服務遭抵制開放原始碼及自由軟體的大老等發起一封抵制網路服務標準機構OASIS新專利政策的活動,並簽署了一份電子郵件,呼籲社群不要採用由OASIS標準組織所通過的規格。OASIS本月修改了它的專利政策,宣稱為開放原始碼軟體的開發提供了更好的選擇。 這份電子郵件中表示,不要採用OASIS的不開放標準。要求OASIS修改它的政策。如果你是OASIS成員,對於這種窒礙難行,不能用在開放原始碼及自由軟體上的標準,不要參與其工作小組。支持者亦表示,希望類似OASIS這樣的組織能訂出明確政策,好讓所有想採用業界標準的組織可以預先知道未來是否會被收費。 然而,OASIS為自己的政策修改提出辯護,也對這個活動加以反擊。其表示,OASIS這個政策和W3C的政策一樣,都要求必須免權利金才行。且其政策規定,業界標準可以加入專利技術,但必須對外公佈此事才行。而且幾乎在所有的案例裡,這倒頭來都會變成免專利金。 OASIS所修改的政策為標準工作提出了三種模式:RAND(reasonable and nondiscriminatory licensing,合理且統一的授權);RAND條件下的RF(免權利金);或者是有條件下的RF。 對於OASIS的杯葛,反應出產業在IP權利上的利益,以及開放原始碼和自由軟體支持者間的爭執。OASIS的新政策預計要在4月15日生效,原本是要展示對開放原始碼擁護者的妥協。但是,這份電子郵件簽署活動,顯示出新政策依然難已被接受。