37. 在美國國家標準暨技術研究院 ( NIST )訂定的軟體開發安全框架( Secure Software Development Framework，SSDF)中提到第三方元件弱點的風 險管控，下列達成風險管控的方式何者錯誤？
(A) 盤點各系統使用的第三方元件清單
(B) 清查第三方元件的弱點
(C) 持續監控第三方元件弱點情資
(D) 使用較不知名的第三方元件

總結

根據 NIST SP 800-218（SSDF）中「軟體保護（Protect the Software）」及「回應弱點（Respond to Vulnerabilities）」的實務建議，正確的第三方元件弱點風險管控方式包括：

• 盤點各系統使用的第三方元件清單 (Inventory third-party components)【(NIST計算機安全資源中心)】

• 清查第三方元件的弱點 (Assess vulnerabilities in those components)【(NIST 出版物)】

• 持續監控第三方元件弱點情資 (Continuously monitor vulnerability intelligence)【(Security Compass)】

而 使用較不知名的第三方元件 並未列於任何 SSDF 實務中，亦無助於降低風險，反而可能增加維運與安全不確定性，故為錯誤選項。

各選項詳解

(A) 盤點各系統使用的第三方元件清單

正確。SSDF「保護軟體（Protect the Software）」原則強調，組織應識別並清單化所有第三方元件，作為後續弱點管理與稽核的基礎【(NIST計算機安全資源中心)】。

(B) 清查第三方元件的弱點

正確。SSDF 建議在「回應弱點（Respond to Vulnerabilities）」實踐中，需定期掃描並評估第三方元件的已知漏洞，以決定是否需要更新或替換元件【(NIST 出版物)】。

(C) 持續監控第三方元件弱點情資

正確。SSDF RV1.1 明載，組織應持續從各種來源獲取並監控與其使用的第三方元件相關的漏洞情報，並及時調查所有可信報告【(Security Compass)】。

(D) 使用較不知名的第三方元件

錯誤。SSDF PW.4.1 明確建議應取得可信賴的第三方元件，確保其經過安全評估與授權，不應以「較不知名」作為降低風險的手段；反之，不知名元件往往伴隨更高的未知漏洞風險【(NIST 出版物)】。

正確答案： (D) 使用較不知名的第三方元件。