39. 【題組 5】情境如附圖所示。這個網站是第三方開源套件，以 下哪種策略能最有效地防止遠端執行指令的攻擊？
(A) 定期更新應用程式功能組件（Plug-in）
(B) 轉為使用客製開發軟體
(C) 定期檢查並安裝安全更新和修補程式
(D) 總是使用最新的軟體版本

以下逐一分析各選項對「防止遠端執行指令（RCE）攻擊」的適切性與可行性：

(A) 定期更新應用程式功能組件（Plug-in）

• 說明：
  • 針對開源程式或網站常見的擴充功能（Plug-in / Add-on / Module）確實需要「定期關注並更新」以修補既有漏洞。
  • 然而，光「定期更新 Plug-in」並不足以確保核心程式碼（Core）或其他相依元件（Dependencies）的安全，還要確保整個系統的安全更新。
• 評價：
  • 雖有幫助，但只著重「Plug-in」更新還不夠全面，尤其若核心程式或底層框架本身有漏洞，僅更新 plug-in 也可能留有風險。

(B) 轉為使用客製開發軟體

• 說明：
  • 「開源套件」與「客製軟體」各有安全與維護的利弊。開源套件的優勢包括社群審核、更新速度較快；客製軟體則可量身打造，但若開發團隊安全意識不足，也可能導入自己的漏洞。
  • 而且重新開發或改用客製軟體成本高、時間長，並不保證「就一定更安全」。
• 評價：
  • 這個策略跨度很大，也不見得是「最有效」或「最直接」的防止 RCE 的手段。

(C) 定期檢查並安裝安全更新和修補程式

• 說明：
  • 面對第三方開源套件，最關鍵的防護措施就是「及時跟進官方或社群所發布的安全公告」，並安裝修補程式(Patch)以修正已知漏洞，包括核心程式、模組、相依函式庫等。
  • 結合安全公告追蹤與版本控制，可以大幅度減少已知漏洞被攻擊者利用的機率。
• 評價：
  • 這是業界普遍認為的最佳實務之一，對防範各種已知漏洞（尤其是 RCE 這種重大風險）最為直接且有效。

(D) 總是使用最新的軟體版本

• 說明：
  • 雖然「保持在新版」往往能享受較新修復，但也有可能遇到 Beta 版本 或 尚未穩定測試的版本，導致兼容性或其他未知漏洞。
  • 更實務的做法是鎖定安全維護版本（LTS 版）或確定更新中有漏洞修復時再升級，而不是盲目「總是追最新」。
• 評價：
  • 「最新版本」不一定就等同「最安全」或「最穩定」，這在現實部署中需要謹慎評估。

總結

• 真正能「最有效防止 RCE」的做法是及時跟進並安裝針對已知漏洞的安全更新或修補程式，包括核心程式、外掛與相依性套件。
• (C) **「定期檢查並安裝安全更新和修補程式」**最能對症下藥，也符合一般企業或組織的安全實務。

正確答案： (C)