Linux基金會OpenSSF發布Cybersecurity Skills Framework協助企業盤點資安能力

Linux基金會與OpenSSF於2025年5月14日正式發布 Cybersecurity Skills Framework,網址為 cybersecurityframework.io,協助企業系統化盤點各IT職務的資安技能缺口。

框架核心設計

框架涵蓋8大IT職務角色(開發人員、DevOps、網路工程師、資料庫工程師、平臺架構師、IT PM、GRC經理等),提供基礎、中階、進階三級熟練度分類,並對應DoD 8140、CISA NICE Framework與歐洲ICT e-CF等既有標準。使用者可透過免費網頁介面選職務族群、調整技能項目,框架每年更新並接受社群回饋。

背景與動機

根據Linux基金會《2024年科技人才現況報告》:

  • 64% 組織認為應徵者缺乏必要技能
  • 新進技術人員平均需10.2個月完成培訓
  • 74% 開源專案負責人維持正式資安回報機制
  • 62% 缺乏專職安全事件應變人員

此框架旨在將資安責任從傳統資安團隊擴展至開發、維運、架構、管理等廣泛職務,讓每個角色都明確理解自身在安全設計、法遵、漏洞管理與事件回應上的責任。

競品框架比較

框架發布機構
NICE網路安全人才框架美國NIST
歐洲網路安全技能框架(ECSF)ENISA
資安人才職能地圖臺灣金管會/教育部
Cybersecurity Skills FrameworkLinux基金會/OpenSSF

相關組織

  • openssf — 發布機構,Linux Foundation旗下開源安全組織

來源文章