App自主安全認證機制?只限台灣廠商,不擋國外廠商?

敬請業界朋友注意,未來是否有逐漸發展以立法或是行政命令來強制檢驗 App 。看的清楚整個事件脈絡的朋友,可多關注,一般的 App 開發者與 這個 App 產業的力量,其實很薄弱,請多表達您的意見,如果你的 App 要在台灣上架的話。
評論
評論

 

(圖片來源:經濟部工業局)

本文作者為 App 跨界交流協會理事長 KNY,本文為他於稍早參與 App 自主安全認證機制相關會議紀錄,他於 今日亦於 Facebook 表示 :「2014 年底,我參加這個會議,並且表達 App 產業朋友的意見:「不希望有法律或行政命令層級的強制檢驗規範」。

敬請業界朋友注意,未來是否有逐漸發展以立法或是行政命令來強制檢驗 App 。看的清楚整個事件脈絡的朋友,可多關注,一般的 App 開發者與 這個 App 產業的力量,其實很薄弱,請多表達您的意見,如果你的 App 要在台灣上架的話。

我在 2014-11-26 參加的「手機 App 軟體基本資安規範」閉門會議 ,先說最後的會議結論與可能發展方向:(這是我的個人理解,目前尚未得到會議記錄)

我的理解應該是:一般市場的 App 資安檢驗,要交由官方或非官方,制定一個非強制性的「標章」,由 App 開發商自行自主申請檢驗。而檢驗的單位,或發行標章的單位,會議中沒有明確指出。

以下是整理這個計畫的脈絡,以及所取得可公開的資料,跟一些心得。簡單來說,這個會議的目的,就是要對 App,建立一個資安規範,由經濟部主管。

複雜的來說:

該會議屬於工業局的一項計畫「完備寬頻產業發展與智慧家庭連網應用推動計畫」中的子項計畫「手機 APP 軟體基本資安規範與驗測推動計畫」,而要擬定 此計畫 是依據「行政院國家資通安全會報第 26 次委員會議」決議,其中有一個決議事項:決議事項 (一):參考各國手機管制機制及我國相關業務分工,手機與電腦之應 用軟體 (包含 LINE) 基本資安規範由經濟部主管,惟手機屬電信法第 42 條規定之電信終端設備,其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部 會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務。

=====

行政院國家資通安全會報第 26 次委員會議紀錄 ,擷取其中一段決議:

 時間:103 年 6 月 24 日(星期二)下午 3 時
地點:行政院貴賓室
主持人:張召集人善政
(一)參考各國手機管制機制及我國相關業務分工,手機與電腦之應用軟體 (包含 LINE) 基本資安規範由經濟部主管,惟手機屬電信法第 42 條規定之電信終端設備, 其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務。

該會報的會議記錄電子檔:(原始檔案來自於 台中市社會局的官方網站,我去 Google 來的)

http://www.slideshare.net/KNYChen/387040000-e0000000-0133564a00attch2

http://www.society.taichung.gov.tw/dfevent/index-1.asp?Parser=9,14,57,,,,2969

這邊可以看到,在台灣,一般市集上的 App 由經濟部主管,手機預載的 App 由通傳會 NCC 主管。

經濟部的工業局擔負了 App 資安規範的工作,所以有了這個計劃案,故在 2014-11-26 我參加了這個會議「手機 App 軟體基本資安規範」,該會議中的這份文件,經過主辦單位同意,可公開於網路與社群,請參考:

http://www.slideshare.net/KNYChen/app2014-1202v7

當天我在會議中,快速了瀏覽該文件最後的一些參考資料:『6. 參考資料』

6.1. Open Web Application Security Project (OWASP)
OWASP: Top 10 Mobile Risks
6.2. 美國
NIST: Technical Considerations for Vetting 3rd Party Mobile Applications
(Draft)
NIST: Cryptographic Algorithm Validation Program (CAVP)
NIST: Cryptographic Module Validation Program (CMVP)
Federal CIO Council: Government Mobile and Wireless Security Baseline
6.3. 歐洲
ENISA: Smartphone Secure Development Guidelines for App Developers
6.4. 大陸
YD/T 2407-2013 移動智慧終端安全能力技術要求
YD/T 2408-2013 移動智慧移終端安全能力測試方法
6.5. 日本
JSSEC: Security Guideline for using Smartphones and Tablets
6.6. 國際標準
ISO/IEC 27001 (Information security management)
ISO/IEC 20000 (Information technology -- Service management)
ISO/IEC 19790 (Information technology -- Security techniques -- Security
requirements for cryptographic modules)
14
ISO/IEC 15408 (Information technology -- Security techniques -- Evaluation
criteria for IT security)
ISO/IEC 14598 (Information technology -- Software product evaluation)
ISO/IEC 9126 (Software engineering -- Product quality)
6.7. 國內法律
個人資料保護法(民國 99 年 05 月 26 日)
電子簽章法(民國 90 年 11 月 14 日)

這份資料看起來大部分應該屬於 guideline(指引),當天表達了我身為開發者的觀點外,也反應了先前在社群收集到的意見回饋 (1),是希望盡量不要有過多的管制,頂多有「指引」(Guideline) 就好,而不是制定「規範」以上的等級,甚至是命令或法規。有一位教授也直接說希望這個計畫名稱改為「指引」(Guideline),而不是「規範」,因為 兩個名稱的涵義不同,力道也不同。 會議的最後方向,我的理解應該是要制定一個非強制性的「標章」,由廠商自行自主申請檢驗。

與會者有官方(經濟部工業局、通傳會 NCC、消保處、國家資通安全會報 (2)、學界、產業(資安檢測相關的,以及 App 開發業者),還有計畫的主辦資策會 iii,各方與「App 資安」這件事情有關利益相關者都有出現,詳細的會議名單,目前我只能這樣描述。
(因為我尚未取得當天的會議記錄,所以當天的閉門會議記錄,如果需要詳細的細節,請向工業局或是主辦索取。)
.

.

.

之後與這件事情相關活動:

公開的座談會,有兩場,有興趣的朋友,可以去參加:
2014-12-04
http://apppark.kktix.cc/events/informationsecurity

image

2014-12-22
http://www.cisanet.org.tw/Services/MACreate/e260f8ca-4f0d-49a6-b10f-f4df52a7ae70

image

各個單位都有自己的立場與想法,我是個開發者,個人對於這個「App 資安規範」(或 App 資安指引)的看法是站在開發者的立場來論述,我認為不該有 過度的強制性管制,我不是法律專家,但是在民刑法、個資法上面,應該都有基本的管制了,而且層級屬於法等級的,再者各個 App 市集上面也已經有對 App 開 發者的基本管制,也有個資、隱私權與限制開發商不可以做的相關規範 (3),當然本國行政單位也可以發布相關的命令進行規範,但是這是屬於另一個管制等級的討論。
然而,我比較擔心的是,如果非強制性的自主檢驗,未來是否會升級成為「強制檢驗」的制度,目前主要的 App 市集都是美商,如 Google 、Apple、Amazon、Microsoft ,如果行政單位要制定一個命令或是規範,的確是可以規範在台的分公司行為,但是如果當地沒有分公司的登記設立,對於沒有遵守法規的網路服務,該怎麼去處理 呢?而在台灣本地經營市集的公司,卻會被規範必須遵守,因為人、公司、行為、金流、資訊流全部都在本地,這樣的生態,是否可能會造成 App 產業,或是新創 服務的不公平競爭呢?除此之外,管理權責的劃分,以及可能影響商業市場的秩序,建議需有全盤的思量。

 

其他參考訊息:


可以透過 Google 搜尋關鍵字
「資安檢測」、「App 資安」、「資安」等,例如搜尋 2014-11 ~ 2015-01 「資安檢測」 的新聞,可以得知更多的脈絡以及更多訊息。  http://bit.ly/1zvBSHy

.

其他相關的類似文章與討論:

備註:

(1) AppDC 台灣 App 開發者社群,所收集到意見:

https://www.facebook.com/groups/appdc/permalink/887247871309316/

(2) 坐在對面,Tilte 看的不是很清楚,應該是這個單位。

(3) 例如:

Google Play 開發人員發佈協議
https://play.google.com/intl/ALL_tw/about/developer-distribution-agreement.html

Apple , App Store Review Guidelines
https://developer.apple.com/app-store/review/guidelines/


Google Cloud Next Recap: Taiwan 精華篇上線!11/10 多支中文精選影音一次看

為了讓台灣市場更深入獲得第一手的 Google Cloud Next '21 產品與技術發表,Google 台灣擷取適合台灣市場的主題內容,推出 31 支的中文影音內容,探討各種 Google Cloud 相關主題,並進一步帶來啟發。
評論
評論

一年一度的 Google Cloud Next 盛會以往都是實體舉行,自去年(2020)受疫情影響後轉為線上舉辦,且開放全球使用者免費報名參加。為了讓台灣市場更深入獲得第一手的 Google Cloud Next '21 產品與技術發表,Google 台灣今年也持續自 Google Cloud Next '21 線上發表中,擷取適合台灣市場的主題內容,將在 11 月 10 日 推出 15 支精彩的重點摘要、精選 16 支主題影片添加中文字幕,共計 31 支的中文影音內容,帶來最新的 Google Cloud 雲端技術發展,並期待替市場帶來啟發。

立即報名觀看 Google Cloud Next 精選中文影音內容

Google Cloud Next 雲端盛會為企業帶來的好處

在本次 Google Cloud Next 會中發表了一系列的創新技術,這些新發表的技術無不是憑藉著業界最乾淨安全的 Google 雲端服務,支持各行各業解決眼前所面臨的急迫問題。尤其現在可以說是每一家公司都轉型成為了科技企業,但最終能獲得成功的企業,不只是要做出與資料儲存以及運算相關的基礎架構決策,還要能夠運用雲端技術來推動數位轉型,以徹底改變整間公司的工作模式與創新思維。因此,無論是要提升內部營運效率、增加業務成長,或是開發創新可能,在 Google Cloud Next 雲端大會中都有機會找到企業所需的答案。

Google Cloud Next 雲端盛會精華篇,五大主題一次掌握

在  Google Cloud Next 中跟著 Google 設計的學習歷程,逐步領略企業的數位轉型過程,以及未來可期的技術發展。本次的中文內容涵括五大主題,分別為:

  • 開放式基礎架構:為了協助企業能在不受任何地理環境的限制下,加速雲端部署的腳步,Google 發表了一系列的託管式硬軟體解決方案 Google Distributed Cloud,幫助建構不受任何地理環境限制的雲端環境。
  • 資料與分析:為了協助企業建立具備即時分析能力的新一代資料基礎架構,並支援處理重要業務資料的應用程式,Google 也發佈了整合度最高、資料分析最完善的 AI 解決方案。
  • Google Workspace:透過建立一個數位工作場所,為超過三十億名使用者提供不受地理環境限制的交流和協作服務,完善所有業務環節間的協同合作,就是 Google Workspace 的使命。會中將透過 Smart Canvas 等輔助工具,提升使用者的工作效率,並進一步提供橫跨於 Docs、Gmail、Meet 和 Chat 等產品中的無縫式用戶體驗,以滿足第一線使用者的不同需求。
  • 安全性:今時今日,各個產業的機構組織都面臨前所未見的資安難題。為了提供更多人安全的網路環境,Google 宣佈了兩項重要政策,分別是全新的 Google 網路安全行動團隊 (簡稱 G-CAT),以及全新的 Work Safer 計畫。
  • 永續發展:為了提供業界最乾淨的雲端環境,Google 也發表了幾項創新技術,協助企業因應氣候變遷,採取立即行動。例如:提供所有客戶免費使用 Carbon Footprint 碳足跡追蹤功能。

立即免費觀看 Google Cloud Next Recap: Taiwan!了解更多詳細精彩的 Google Cloud Next 雲端盛會精華