數發部資安署指導資安院辦理首屆產品資安漏洞獵捕,共集結11家國內資通訊大廠,針對20組產品進行測試。資安院今天公布,最終確認20項有效漏洞,顯示產品上市前若透過外部測試驗證,有助提前發現潛在風險、縮短修補時程,進一步強化整體產品安全。
資安院舉辦首屆漏洞獵捕活動成果記者會,資安署署長蔡福隆指出,隨著歐盟「網路韌性法」等國際規範陸續上路,強化台灣產品安全與建立供應鏈信任已成為關鍵。資安院首屆漏洞獵捕活動成果豐碩,之後會再辦理第2屆,促使業者更重視產品資安,也讓政府機關或企業在採用資安產品時,有非常安全的環境。
資安院說明,活動共集結11家國內指標性資通訊大廠、179位本土資安研究員,針對網通設備、網路儲存設備及工業網通等20組產品進行測試,最終確認20項有效漏洞,其中包含3項嚴重等級與6項高風險漏洞。
資安院指出,這次活動發現有效漏洞中,部分元件因使用弱密碼可能導致任意檔案遭讀取,也有因未妥善檢查參數輸入格式,而產生命令注入風險等漏洞。
資安院表示,179位研究員中,共有25人成功提交漏洞報告,透過研究員從實際攻擊者視角進行測試,使廠商得以在產品上市前即掌握潛在問題,將原本可能於上市後才暴露的風險提前處理。目前已有廠商配合申請取得6個通用弱點與漏洞(CVE)編號,資安院也將持續追蹤後續情形。
資安院指出,參與計畫的藍隊廠商皆表達高度意願參與後續活動,紅隊研究員也肯定此次整體運作,並建議未來若能進一步明確揭露測試標的資訊與評估標準,將更有助提升漏洞挖掘成效。
資安院表示,規劃9月辦理第2屆漏洞獵捕活動,將以軟體供應鏈安全驗證為主軸,針對政府機關常用軟體項目,優先選擇使用率較高或涉及高風險情境的軟體進行驗證,透過公私協力模式強化MIT產品競爭力,讓台灣製造從Made in Taiwan邁向Make ItTrusted。
2026/04/27 14:29
轉載自聯合新聞網: https://udn.com/news/story/7240/9466986?from=udn-ch1_breaknews-1-99-news
Post gallery
