loading...
數發部資安署指導、國家資通安全研究院4月27日辦理首屆「產品資安漏洞獵捕活動」,共集結11家國內資通訊大廠、179位本土資安研究員,針對20組產品進行測試,最終確認20項有效漏洞。資安院表示,產品在上市前透過外部測試驗證,有助提前發現潛在風險、縮短修補時程,強化產品安全、市場信任與MIT產品競爭力。
資安院說明,本次活動涵蓋網通設備、網路儲存設備(NAS)及工業網通等產品,其中包含3項嚴重等級與6項高風險漏洞,均已完成修補。
資安署署長蔡福隆說,隨著歐盟《網路韌性法》等國際規範陸續上路,強化台灣產品安全、建立供應鏈信任,與提升出口競爭力及國家數位韌性密切相關。首屆漏洞獵捕活動成果豐碩,後續將辦理第2屆,促使業者更加重視產品資安。
在漏洞樣態方面,資安院指出,部分元件因使用弱密碼或預設帳密,可能導致任意檔案遭讀取;也有產品因未妥善檢查參數輸入格式,產生命令注入風險。整體觀察顯示,不少漏洞具備實際攻擊價值,且可能形成連鎖攻擊,產品資安仍有強化空間。
國家資通安全研究院院長林盈達表示,活動結果顯示台灣資安研究員具備實力,未被找出漏洞的產品也在高強度測試下展現防護能力;而被找出漏洞的產品,則可在上市前完成修補。
檢測中心總監劉建良說,企業若導入產品資安(PCERT)概念,可建立專責團隊持續更新與修補漏洞,從被動防禦轉向主動發現風險。
資安院規劃今年第3季開始受理報名,於9月至10月辦理第2屆活動,將轉向軟體供應鏈安全驗證,並導入AI工具挖掘漏洞,預計募集800萬元獎金,持續強化MIT產品競爭力,推動台灣製造邁向「Make It Trusted」。◇
