IEC 62443是一個各產業強烈要求合規的國際標準，其中IEC 62443-4-1完整說明產品安全開發生命週期規範。於安全軟體開發生命週期（Secure Software Development Life Cycle, SSDLC）中支援國際標準IEC 62443-4-1產品安全開發生命週期需求之規範，可協助企業逐步達成安全軟體開發的目的。

儘管駭客發動攻擊多半為經濟利益，但仍然有部分駭客透過攻擊關鍵基礎設施，藉此影響民眾的日常生活，以達成特定政治目的。著名案例，莫過於2015年烏克蘭電力網路受到駭客攻擊，導致數十萬戶大停電。近幾年關鍵基礎設施遭到攻擊案例明顯增加，如：2021年美國輸油管公司Colonial Pipeline遭駭客組織攻擊，最終被迫支付440萬美元贖金。

駭客選擇攻擊工控設備主因，即看準此類設備軟體更新不易，且欠缺合適資安防護機制。根據微軟公司統計結果顯示，自2020年至2022年之間，製造業採用知名廠牌的工控產品，含有已知高風險漏洞的數量增加78%。另外，有高達75% 工業控制系統未即時進行資安漏洞修補。於SSDLC平台的軟體安全開發流程服務，支援國際標準IEC 62443-4-1可協助企業逐步達成安全軟體開發。

近來備受關注的安全軟體開發生命週期（SSDLC）主要訴求在軟體開發過程中兼顧安全性與功能性，因此，開發團隊必須在各階段皆須考慮安全問題，才能達到降低維護成本與遭受攻擊損失的目的。而企業要落實SSDLC最重要的關鍵，應該以IEC62443國際標準為參考指引，因為，此標準不光是OT 網路安全標準，更是針對工業自動化與控制系統（Industrial Automation and Control Systems, IACS）設計，提供IACS 安全漏洞的靈活框架，可達成軟體開發過程中安全性與功能性的目標。

SSDLC平台涵蓋IEC 62443-4-1為軟體專案最佳指引

近幾年IEC 62443國際標準成為企業落實SSDLC關鍵，在於這套標準涵蓋人員、技術、流程等面向，並透過不同章節分別定義資產所有者、系統整合商、產品供應商等工作內容。IEC 62443-1 為通論，主要介紹標準的術語、概念、案例。IEC 62443-2則是政策與程序篇，是專為資產擁有者的設計，主要說明工控系統安全管理規範、實施指引等。IEC 62443-3則是系統篇，是為系統整合商所設計的，內容為工控系統安全技術、安全風險評鑑與系統設計。IEC 62443-4則是元件篇，為產品供應商設計的章節，內容涵蓋產品安全開發規範 、工控系統元件技術規範等兩部分。

成功大學李南逸教授表示IEC 62443-4-1涵蓋8個環節，分別是安全管理、安全要求規範、安全設計、安全實作、安全驗證與有效性測試、安全相關議題管理、安全更新管理、安全指南等。企業推動安全軟體開發流程時，必須了解這是一個不間斷、持續優化的過程， 而IEC 62443已是一個國際合規標準，絕對是企業推動SSDLC制度的最佳指引。目前已有團隊推出SSDLC平台服務，從軟體設計初期，依循IEC 62443-4-1的SSDLC資安指引，讓企業在軟體開發階段導入資安因素，以提升軟體品質、縮短取得安全認證時程，有助降低軟體維護成本，期盼企業善加利用。