微軟近期揭露了名為「Glasswing」的內部資安專案,作為其「安全未來倡議」(SFI)的核心環節,旨在全面強化軟體供應鏈的透明度與安全性。該計畫重點在於建立自動化的軟體清單(SBOM)追蹤機制,針對開源軟體依賴項進行嚴格的完整性驗證。隨著近年來針對第三方函式庫的供應鏈攻擊頻傳,Glasswing 透過標準化流程,確保開發者能即時掌握程式碼來源與潛在漏洞。這項行動不僅是微軟內部的技術升級,更代表其將資安防禦線前移至開發階段,試圖從源頭阻斷惡意程式碼滲透,為企業級軟體開發樹立了新的安全基準。
這項舉措標誌著微軟正從被動的漏洞修補,轉向主動的供應鏈治理策略。藉由推動 SBOM 標準化,微軟實際上是在定義全球軟體生態系的安全規格,迫使供應商與開源社群提升透明度。此舉解決了長期以來開源軟體「信任黑盒」的問題,降低了如 Log4j 等系統性風險發生的機率。對產業而言,這將帶動資安合規成本的上升,但同時也加速了自動化資安工具的普及。隨著各國政府對軟體透明度的監管趨嚴,Glasswing 讓微軟在合規競爭中佔據先機,將資安防禦能力轉化為難以跨越的商業護城河,進而重塑雲端與軟體服務的市場信任結構。
解鎖更多問題
科技新報粉絲團
加入好友
訂閱免費電子報