Linux基金會OpenSSF發布Cybersecurity Skills Framework協助企業盤點資安能力
Linux基金會與OpenSSF於2025年5月14日正式發布 Cybersecurity Skills Framework,網址為 cybersecurityframework.io,協助企業系統化盤點各IT職務的資安技能缺口。
框架核心設計
框架涵蓋8大IT職務角色(開發人員、DevOps、網路工程師、資料庫工程師、平臺架構師、IT PM、GRC經理等),提供基礎、中階、進階三級熟練度分類,並對應DoD 8140、CISA NICE Framework與歐洲ICT e-CF等既有標準。使用者可透過免費網頁介面選職務族群、調整技能項目,框架每年更新並接受社群回饋。
背景與動機
根據Linux基金會《2024年科技人才現況報告》:
- 64% 組織認為應徵者缺乏必要技能
- 新進技術人員平均需10.2個月完成培訓
- 74% 開源專案負責人維持正式資安回報機制
- 62% 缺乏專職安全事件應變人員
此框架旨在將資安責任從傳統資安團隊擴展至開發、維運、架構、管理等廣泛職務,讓每個角色都明確理解自身在安全設計、法遵、漏洞管理與事件回應上的責任。
競品框架比較
| 框架 | 發布機構 |
|---|---|
| NICE網路安全人才框架 | 美國NIST |
| 歐洲網路安全技能框架(ECSF) | ENISA |
| 資安人才職能地圖 | 臺灣金管會/教育部 |
| Cybersecurity Skills Framework | Linux基金會/OpenSSF |
相關組織
- openssf — 發布機構,Linux Foundation旗下開源安全組織