軟體產業的CAS認證 - 防毒軟體公司的下一步

「CAS」標章不是我國優良肉品的合格標章嗎？

沒錯，這裡的「CAS」就是將其精神運用到軟體產業。

也就是說，對於軟體的品管(品質)，從來源、製造、包裝行銷等過程建立起一整套的認證系統，這與CMM(軟體工程成熟度)完全不同，這種標章是保障消費者買到的軟體，具備一定的相容性、穩定度、無毒(電腦病毒)，安全(無間諜後門軟體)的一種認證。

事實上，目前的防毒軟體(架構)已經很難有什麼重大突破，電腦病毒、木馬程式永遠無法在現行的防毒軟體中消失，因為現在的防毒軟體都是事後、被動地防範，缺乏像CAS這種可以從產品本身來認證其可靠及安全性。

這種認證不是貼一張貼紙而已，而是用戶在安裝程式時，這種認證系統會去核對程式內坎的認證資訊，檢查其正確與合法性，通過之後才放行(執行)，當然這種認證還分數種等級，有的只是做相容性認證，有的軟體製造商可能將原始碼送交檢驗，以最高認證標準取得消費者信任。

其實，這種認證系統或組織，早晚會出現在高度運用，或者依賴電腦的資訊社會裡，否則電腦犯罪者利用簡單木馬程式，來監視畫面與鍵盤資訊，竊取重要檔案，即使各國政府與金融機構，推動多複雜的金鑰認證與加密機制也是後門大開，因為現在駭客根本不從中間攔截資訊，還得麻煩費時破解，現在都直接從使用者下手監控，容易也較安全，駭客從使用者取得合法身分(檔案與資訊)再向企業、銀行機構、政府進行各種不法活動。

因此，如果沒有真正能確保電腦安全的運作系統出現，商業電子交易隨時得面臨安全問題而暫停服務的風險，資訊化社會將永遠存在「大崩潰」危機，尤其當爆發國與國的資訊戰時，才可能發現問題有多嚴重。

面對成千上萬的程式(包括網路下載的免費程式)，一般民眾在安裝這些軟體時，如何化解心中的疑慮與擔憂？

在資訊環境缺乏安全認證機制之下，小型軟體業者面對使用者戒心日漸高漲時，常會產生軟體再好人家也不敢裝的窘境，尤其是想採用免費手段促銷來拓展客源時。

如果防毒軟體始終只是標榜可多抓出幾種病毒也是惘然，因為全球不知有多少人在製造(撰寫)病毒程式，甚至國家為有朝一日發動資訊戰，有些政府還設立專門研究單位，積極研發不被發覺的病毒與木馬程式。

面對這種永不停息的攻防漩渦裡，防毒軟體公司該如何跳出泥沼，而下一步又該怎麼走？

其實，目前國際兩大防毒軟體公司(如趨勢與賽門鐵克)，應該坐下來好好思考，如何以更較有效的方法，甚至從根本解決軟體安全問題？

如果，類似CAS認證制度可行，那麼應該邀集國際軟硬體資訊大廠，像微軟、英特爾、IBM、SUN…等等有影響力業者(中國、日本企業也該一起邀約)共同參與，建立國際化資訊軟體認證標準與運作系統，同時成立一個單一國際認證機構來推動，與各國政府專屬認證研究中心相互授權認證與技術交流。

如果窒礙難行，至少趨勢科技可以與自己政府與資訊產業協商訂出專屬的標準與專利，成熟後再大量外銷也行，這樣台灣的軟體產業就有一個很好的發揮舞台，而且是國際級的市場，而該公司可能因新業務與技術運用，而增加數倍營收也說不定。

未來我們下載軟體時，新式的防毒軟體就可先判斷是否經過安全與等級認證，同時確認與自己的系統相不相容。而未經認證而下載的程式或檔案，該系統除了傳統掃描是否藏有木馬或病毒外，也會監控程式啟動後開啟哪些服務，對外傳送哪些訊息出去，如此我們才可能信賴電腦「不會出賣自己」。