軟體供應鏈安全實例：JFrog 元件管理相較全面清查的優勢

還在依據套件的下載次數來判斷更新的可靠度嗎?

2025年，區塊鏈及金融服務領域常見的 NPM 套件「country-currency-map/可幫助前端開發人員快速獲取貨幣和國家/地區關係」爆發了重大供應鏈安全事件。

攻擊者先竊取原始維護者帳號進行套件發佈權限劫奪，於新版 V2.1.8 加入高度混淆（Obfuscated）的惡意安裝腳本。腳本會自動執行，擷取系統環境變數、API 金鑰、SSH 憑證等機敏資訊，並傳送至遠端伺服器。

延伸閱讀：npm: country-currency-map、重大 SBOM 風險預警 | 總下載量超百萬次開源 NPM 組件被投毒-騰訊雲

Github 項目依賴統計資料，超過 170 個 github 開放原始碼專案使用 country-currency-map 元件。考慮到該開源元件的下載量以及使用量，此次投毒攻擊是個典型的供應鏈攻擊事件。這個套件過去多年供應給眾多金融科技、新創與第三方支付平台開發者，累計下載數高達 50 萬以上，在發現問題前已被廣泛使用，對使用該套件的應用系統造成潛在安全風險。

軟體供應鏈安全管理新思維

當我們談論軟體供應鏈管理時，許多企業先清查再管理嘗試盤點所有現有系統的第三方元件使用情況。這種做法不僅耗時費力，更可能讓企業在等待清查完成的過程中，持續暴露在新的安全風險之中。Linktech 提供更有效的策略：從現在開始建立統一的元件管理機制，再著手清查過去的技術債務。

｜傳統清查方式首先遇到的：跨部門協調噩夢

許多企業在面對軟體供應鏈安全時，第一個念頭就是「我們需要知道現在到底用了什麼」。這個想法雖然合理，但實際執行時卻面臨重重困難：

• 部門協調複雜度爆炸

清查工作需要資安、資管、前端、中台開發等多個單位共同參與，每個部門都有自己的優先級和時程安排，要讓所有人同步配合是極具挑戰性的任務。

• 技術棧複雜性

現代企業的技術環境包含 C#、.NET、J2EE、JavaScript、Python、iOS、Android 等多種開發框架，每種技術都有各自的套件管理方式，要進行全面盤點需要大量的技術專業知識。

• 持續變化的現實

軟體開發是動態的過程，當你還在清查上個月的使用情況時，開發團隊可能已經引入了新的依賴套件。清查工作永遠追不上實際的變化速度。

• 資源投入與產出不成比例

全面清查需要投入大量的人力和時間，但得到的往往只是一個「時點快照」，無法持續提供價值。

｜JFrog：從現在開始的主動防護策略

相較於被動的清查模式，我們提出「從現在開始」的主動防護策略。這個策略的核心思想是：與其花費數月時間清查過去，不如立即建立機制確保未來的每一個外部元件都是安全可控的。

｜JFrog 統一元件管理的三大核心價值

1. 單一信任來源

JFrog Artifactory 作為企業的統一製品庫，成為所有外部依賴的唯一入口點。無論是 Maven、npm、PyPI、Docker 還是其他套件管理系統，支援超過 40 種不同的套件格式和檔案類型的檢查，所有的外部元件都必須通過Artifactory進行代理和緩存。

2. 自動化安全掃描機制

JFrog Xray 整合了業界領先的漏洞資料庫，包括 NVD 和商業級 VulnDB，能夠對每一個進入Artifactory 的元件進行深度掃描。團隊不需要手動研究每個套件的安全狀況，系統會自動標記已知問題的元件並提供修復建議，但仍需要專業人員判斷和確認。

3. CI/CD 流程整合

最關鍵的是，JFrog 能夠與企業現有的 CI/CD 管道無縫整合，在每個關鍵節點設置安全檢查點。根據企業自訂的安全政策進行檢查，高風險元件將被標記或阻擋，大幅降低有漏洞軟體進入生產環境的風險。

｜實施策略：四階段漸進式導入

第一階段：建立代理機制

首先設置 JFrog Artifactory 作為所有外部套件源的代理，包括 Maven Central、npm Registry、PyPI 等。這個階段的重點是建立基礎架構，確保開發團隊能夠正常獲取所需的依賴套件。

第二階段：啟用安全掃描

配置 JFrog Xray 對所有新進入的元件進行自動掃描，設定相應的安全政策和閾值。例如，可以設定所有High或Critical級別的漏洞都必須在進入生產環境前被攔阻。

如下圖是「建立新政策規則」的設定畫面，常見於資安相關的自動化治理工具（以 JFrog Xray 為例的 DevSecOps 產品），建立一條自動攔截（Block）高風險漏洞（CVE）的規則:

• Rule category（規則分類）選擇 Minimal Severity（最低嚴重等級），即依據漏洞分級來啟動規則。

• Select minimal severity（最低嚴重性）選擇 Critical（嚴重），意思是一旦掃描結果有任何「Critical」等級的漏洞就會觸發規則。

只要發現有 Critical（嚴重等級）的已知 CVE 漏洞，就會阻擋下載該軟體元件或檔案（包含未被掃描過的構件），強制避免高風險物件流入後續環節。

第三階段：CI/CD整合

將 JFrog 整合到現有的持續集成/持續部署管道中，確保每次 build 都會進行安全檢查。這個階段需要與 DevOps 團隊密切配合，調整現有的工作流程。

第四階段：政策優化與監控

根據實際運行情況調整安全政策，建立監控儀表板，定期檢視安全狀況和合規性報告。

如下圖為「導出掃描資料（Export Scan Data）」的畫面，常見於 SCA（軟體組成分析）或弱點掃描管理平台。內容會包括 SBOM（所有組件清單）和已發現的「弱點（Vulnerabilities）」。政策違規、操作風險和 Secrets（憑證/敏感資料）都不會包含在匯出檔案中。

主要用途為團隊或主管備存、審查，或者向外部（客戶、法規要求等）證明專案的資安現況與用到哪些依賴組件與已知弱點。

｜為什麼選擇 Linktech 作為 JFrog 導入夥伴？

導入初期可能會遇到開發流程短暫調整，團隊需要一定的學習適應期。此外，工具組態設定需要根據各企業的技術架構和需求進行客製化調整，並非標準化組態即可適用所有環境。安全掃描工具可能產生誤報情況，建議組態具備專業判斷能力的資安人員進行確認，確保掃描結果的準確性和後續處置的適當性。

因此，充分的前期規劃能有效降低導入風險，確保專案順利推進並達到預期效益。Linktech 身為 JFrog 專業導入夥伴，我們具備以下獨有優勢，助您順利打造軟體供應鏈安全架構！

• 豐富的實戰經驗：多年來協助多家企業成功導入 JFrog 平台，積累大量實務案例與最佳實踐，助您避開導入陷阱。

• 全技術支援：我們的團隊具備多種開發語言和框架的專業知識，能夠為 C#、Java、Python、JavaScript 等不同技術環境提供客製化解決方案。

• 完整服務流程：從需求分析、架構設計、實施部署到後續維護，我們提供端到端的服務支援。

• 產品價值延伸：JFrog 平台功能豐富且持續演進，我們提供長期技術支援和最佳實踐分享，確保您能充分發揮平台價值。

立即行動：從被動回應轉向主動防護

軟體供應鏈安全並不是一個可推遲的議題。每一天的延遲都意味著更多的風險暴露和潛在的安全威脅，與其等待完美的清查報告，不如從今天開始建立主動的防護機制。

JFrog 提供的不僅僅是工具，更是一套完整的軟體供應鏈安全管理策略。透過統一的元件管理、自動化的安全掃描和無縫的 CI/CD 整合，您可以在儘量減少對開發效率影響的前提下，顯著提升軟體安全性。

準備好開始您的軟體供應鏈安全轉型了嗎？如需瞭解更多 JFrog 內容或索取客製化解決方案建議，歡迎透過以下方式聯繫我們。

Linktech 團隊洽詢方式：

• Tel: 02-7752-7658

• email: sales@linktech.com.tw