概述

產品實作的每個階段都秉持安全性優先原則

AI Summary

Arm 從最初建立架構開始,一直到上市後的監控,都將安全性融入各個階段。我們量身打造的安全性開發生命週期 (SDL),可確保安全性成為每個里程碑的一部分:概念、設計、實作、驗證、發布等。這項生命週期具備連續性、彈性及適應能力,反映 Arm 對保護產品及其生態系的承諾。

SDL 重要的理由

安全性不是一次就能完成

Arm 安全性開發生命週期提供 Arm 主動風險管理,協助 Arm 在漏洞遭到利用之前加以識別和解決。

 

  • 設計安全性:安全性從第一天就開始著手設計,不是等到事後才著手修補。
  • 生態系信任感:Arm IP 是數十億個裝置的基礎,而穩健的 SDL 可獲得及維持生態系信心。
  • 保證有效:獨立保證及配合社群需求可確保 SDL 深度及維持最新狀態。
  • 透明度及回應速度:PSIRT 提供結構化及負責任的漏洞管理及揭露。
  • 持續改進:依據新興威脅與技術調整 SDL 實務。

 

安全性不是一次就能完成。SDL 可確保 Arm 產品能隨著不斷變化的威脅情境同步演進發展。

Arm 量身打造的 SDL

Arm 量身打造的安全性開發生命週期

Arm 針對軟體、硬體及解決方案 (例如 Arm Neoverse 運算子系統) 量身打造安全性開發生命週期流程,且一切都是依據共同框架運作。

產品安全性開發生命週期資訊圖表

Arm Security Development Lifecycle illustration showing a neon infinity loop symbolizing continuous integration, testing, and risk evaluation in secure software development
風險評估

SDL 風險評估

Arm 從一開始就將安全性整合至產品開發階段。每個專案一開始都會定義安全性要求,以反映產品的預期用途、市場環境,以及可能面臨的威脅類型。這些要求可確認哪些資產需要保護、潛在的惡意對象,以及如何部署產品。我們的工程師可以此為基礎執行結構化威脅建模,預測可能的攻擊情境。這可確保儘早掌握高階安全性目標,並讓設計團隊能夠明智決定如何最有效降低風險。

此項評估結果將記錄在安全性風險評估 (SRA) 中,而這份文件將在整個產品生命週期內持續作用。SRA 可說明威脅如何對應特定對策、設計中內建的安全性管制措施,以及合作夥伴應注意的任何剩餘風險。Arm 與合作夥伴分享工作摘要內容,不但讓我們的方法更加透明,也協助合作夥伴充滿信心,瞭解我們從一開始設計技術時,就遵循穩健且清楚記錄的安全性措施。

Arm technology concept image featuring a warning triangle with exclamation mark on a circuit board, representing risk reduction, threat detection, and security mitigation.

降低風險

Arm 會在發現風險後慎重處理,在向合作夥伴提供產品之前降低風險。安全性目標則會轉化為特定設計和驗證要求,確保從一開始就在硬體和軟體內建保護功能。工程師使用攻擊導向的測試方法,刻意從對手觀點發現可能錯失的弱點。這項流程可讓我們驗證對策的有效程度,並在需要時加以改善。

以上努力成果並非只用於一次檢查就結束,而是融入標準設計和驗證實務中。隨著規格演進發展,相關安全性要求及測試計畫也同樣持續演變。這樣持續整合安全性有助於確保及早解決漏洞、降低修復的成本及複雜性,同時強化整體產品的可信度。

Arm cybersecurity visualization with a glowing umbrella icon representing digital protection, proactive risk management, and secure system resilience.

風險管理

安全性即使在產品出貨後也不會停下腳步。Arm 會依據持續循環的意見回饋,協助監控、評估及因應全球生態系新興風險。產品安全性事件應變團隊 (PSIRT) 可說是其中的核心所在;團隊與研究人員、客戶及合作夥伴密切合作,以探索、分析及解決新的漏洞。Arm 身為 CVE 編號管理者 (CNA),確保以透明方式追蹤問題,並負責任地揭露問題,為利害關係人提供所需的時間和指引,以有效部署緩解措施。

PSIRT 活動獲得的各項洞見,將直接回饋至安全開發生命週期 (SDL)。這樣可確保依據從真實世界事件中汲取的經驗,讓未來的設計與更新更上層樓,持續提升產品彈性。Arm 結合結構化 SDL 流程與持續的事件應變,提供生命週期方法協助保護現今部署,同時為未來威脅做好準備。

確保持續成功

SDL 並不是固定不變。Arm 會定期更新實務做法以因應下列項目:


  • 新興威脅 (例如旁路攻擊、推測執行問題)。
  • 全球市場的客戶和監管要求。
  • 軟硬體開發方法的進展成果。

Arm 會利用以下反覆流程,確保 Arm 的 SDL、技術及軟體持續穩健發展、符合未來需求,並獲得業界信任。

Arm icon Independent Security Assurance

獨立產品安全性保證

  • 專屬保證團隊會持續審查及驗證 Arm 的 SDL 及 PSIRT 流程,確保流程保持效用,並跟上不斷演變的威脅情勢。

主動參與社群及各項標準

  • Arm 積極參與 IEEE、IETF 及 MITRE 等學術界、產業及標準社群,並以 CVE 編號管理者 (CNA) 的身分處理 Arm 品牌產品及託管的開放原始碼專案。
Arm icon security test

主動安全性測試

  • 以滲透測試及紅隊演練團隊不斷尋找 Arm 技術和軟體的安全性弱點。
  • Arm 漏洞懸賞計畫利用外部專業知識及早發現漏洞,確保加速修正並持續提升產品彈性。
聯絡我們

是否需要回報 Arm 技術的可疑漏洞?請造訪 Arm 開發人員網站安全性中心取得詳細的回報指引。

Arm 開發人員網站安全性中心

關鍵重點

Key Takeaways

  • 連續的封閉迴路流程
  • 為各種技術和軟體量身打造
  • 及早持續進行威脅建模及掌握需求
  • 在整個開發階段提供驗證和文件