美國國家安全局發布「軟體記憶體安全須知」

  美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下:

  1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。

  2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。

  3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。

  搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。

相關連結
你可能會想參加
※ 美國國家安全局發布「軟體記憶體安全須知」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8956 (最後瀏覽日:2024/04/21)
引註此篇文章
你可能還會想看
CAR-T細胞治療產品Yescarta美國專利侵權訴訟逆轉勝,CAFC認定專利不符書面說明要件而無效

  Gilead Sciences之子公司Kite Pharma(以下簡稱Kite)所推出之Yescarta®(Axicabtagene Ciloleucel)為治療復發型或難治型瀰漫性大B細胞淋巴瘤(Diffuse Large B-Cell Lymphoma, DLBCL)之CAR-T細胞治療產品,其為美國FDA第二個核准上市之CAR-T產品。   上述產品於2017年獲美國FDA核准上市後,Juno therapeutics公司隨即於美國加州中區聯邦地院起訴Kite,主張Yescarta侵害Juno therapeutics之美國7,446,190號專利「編碼嵌合T細胞受體之核酸(Nucleic acids encoding chimeric T cell receptors)」(以下簡稱190專利),2019年陪審團認定Kite成立專利侵權,裁定損害賠償額為7.78億美元;於2020年法院進一步認定Kite有蓄意侵權行為,再判定需增加50%之損害賠償金,使損害賠償總額超過11億美元。   本案上訴後,美國聯邦巡迴上訴法院(US Court of Appeals for the Federal Circuit, 以下簡稱 CAFC)於2021年8月26日推翻原審判決,認定190專利不符書面說明(Written Description)要件而無效。CAFC認為190專利請求項所請求之單鏈可變區片段抗體(single-chain variable fragment, scFv)結合部涵蓋過廣,包括可結合「任何」標的之「任何」scFv,惟其說明書未能提供其中之代表性物種(species)、或界定其共通結構特徵,於說明書中僅揭露可結合兩種不同標的之兩種scFv作為實施例,但未能說明此二物種如何、或是否能夠代表其所請求的整個上位之屬(genus)。CAFC指出,若要滿足書面說明要件之要求,說明書應揭露與代表性數量之標的結合之特定scFv物種,Juno雖提出專家證詞主張此二scFv實施例已具代表性,惟CAFC仍認為該證詞過於籠統而未能解釋何種scFv將與何種標的結合。CAFC指出,書面說明要件之目的在於確保專利排他權範圍不會超出發明人記載於說明書中之貢獻範圍,190專利發明人證稱其申請發明時只使用過說明書所載之兩個scFv實施例,且說明書未提供確認何種scFv將結合至何種標的之方法與指導,但190專利卻請求可與任何標的結合之scFv,因此,190專利之揭露內容未能證明發明人擁有結合至各種選定標的之所有可能scFvs,無法滿足書面說明要件之要求。   醫藥專利以上位請求項(genus claim)尋求保護時,可能因說明書記載內容不容易滿足書面說明與可據以實施(Enablement)要件而受到挑戰。除本案外,美國近期亦有數件醫藥專利因不符書面說明要件與可據以實施要件而被宣告無效,如Amgen Inc. v. Sanofi(Fed. Cir. 2021)、Idenix Pharmaceuticals LLC v. Gilead Sciences Inc.(Fed. Cir. 2019)、Enzo v. Roche(Fed. Cir. 2019),未來醫藥專利以上位請求項尋求保護是否會變得更加困難,值得繼續觀察。

基因資訊醫療應用與被害人承諾

何謂「AI創作物」?

  日本智慧財產戰略本部之「次世代智財系統檢討委員會」於2016年4月18日公布的報告書針對「AI創作物」有諸多討論,截取部份內容如述。   以現行著作權法來看,自然人創作產生的創作物,受到著作權保護並無疑問。倘若係自然人利用AI做為道具產出的創作物,若具備(1)創作意圖;(2)創作貢獻,兩種要件,亦得取得權利。然而,若該創作物僅透過人類指示,過程係由AI自主生成,此時該創作物即屬於AI創作物,目前非屬著作權法保護之範圍。惟上述三種情況在外觀辨識上極為困難。換言之,人類創作物與AI創作物之界線已愈趨模糊。   AI創作物可能具備多種態樣,包括:音樂、小說等,甚至包括新技術及服務的生成。以音樂、小說為例,由於日本著作權法係以「創作保護主義」為前提,只要該創作物完成時具有原創性,即受著作權保護,AI的特性可能會造成該當著作權保護之著作物數量遽增;若AI產生的成果屬於技術或服務,以專利審查需具備新穎性、進步性等要件而言,得獲取專利權難度相對比較高。   而日本政府在討論AI創作物是否具有「保護必要性」,主要係以智財權「激勵理論」出發,該理論核心在於保護人類的投資行為應獲得合理報酬,才有續行創作的動機。

普利司通公司就安裝在美國汽車中之零組件價格壟斷乙案認罪,並同意支付4億2仟5佰萬美元刑事罰金

  美國司法部宣布日商普利司通(Bridgestone Corp.)股份有限公司,就其共謀操縱安裝於汽車中並銷售至美國及其他國家之汽車防震橡膠零組件價格乙案認罪,並同意支付4億2仟5佰萬美元之刑事罰金。   根據俄亥俄州(Ohio)地方法院所提起的一項重罪控訴,該公司於美國及其他國家共謀參與分配銷售、操縱報價及壟斷、提高並維持其出售予豐田(Toyota)、日產(Nissan)汽車公司、富士重工業(Fuji Heavy Industries)公司、鈴木(Suzuki Motor)公司、五十鈴(Isuzu Motors)汽車公司及其某些子公司、加盟和供應商之汽車防震橡膠零組件價格。除了刑事罰金外,普利司通公司並同意配合司法部進行後續之汽車零組件案調查。本認罪協議(plea agreement),業經法院批准。   在2011年10月,普利司通公司即因「海洋軟管」(marine hose)乙案涉嫌壟斷價格及違反「海外貪污防治法」(Foreign Corrupt Practices Act)而遭控訴,經認罪協議並支付2仟8佰萬美元罰金。但於是案答辯中,該公司並未就其同時涉及防震橡膠零組件共謀操縱價格乙情,主動為揭露。該公司未主動揭露上情,乃是本次罰金高達4億2仟5佰萬美元原因之一。   美國司法部副助理部長Brent Snyder表示:「美國司法部反托拉斯署將針對屢犯卻未主動揭露其他反競爭行為者,採取強硬態度。本案之鉅額罰金,即重申該署致力於令企業就其傷害美國消費者之行為,負起責任。」普利司通公司遭指控因價格壟斷違反謝爾曼法案,依法最重可處1億美元之刑事罰金。如企業因犯罪所獲利益之兩倍數額,或犯罪被害人所受損失之兩倍數額,其一逾前開法定最高罰金時,得加重至該數額。

TOP