資安院「漏洞獵捕」助廠商掌握潛在風險　強化MIT競爭力

（中央社記者趙敏雅台北27日電）數發部資安署指導資安院辦理首屆產品資安漏洞獵捕，共集結11家國內資通訊大廠，針對20組產品進行測試。資安院今天公布，最終確認20項有效漏洞，顯示產品上市前若透過外部測試驗證，有助提前發現潛在風險、縮短修補時程，進一步強化整體產品安全。

資安院舉辦首屆漏洞獵捕活動成果記者會，資安署署長蔡福隆指出，隨著歐盟「網路韌性法」等國際規範陸續上路，強化台灣產品安全與建立供應鏈信任已成為關鍵。資安院首屆漏洞獵捕活動成果豐碩，之後會再辦理第2屆，促使業者更重視產品資安，也讓政府機關或企業在採用資安產品時，有非常安全的環境。

資安院說明，活動共集結11家國內指標性資通訊大廠、179位本土資安研究員，針對網通設備、網路儲存設備及工業網通等20組產品進行測試，最終確認20項有效漏洞，其中包含3項嚴重等級與6項高風險漏洞。

資安院指出，這次活動發現有效漏洞中，部分元件因使用弱密碼可能導致任意檔案遭讀取，也有因未妥善檢查參數輸入格式，而產生命令注入風險等漏洞。

資安院表示，179位研究員中，共有25人成功提交漏洞報告，透過研究員從實際攻擊者視角進行測試，使廠商得以在產品上市前即掌握潛在問題，將原本可能於上市後才暴露的風險提前處理。目前已有廠商配合申請取得6個通用弱點與漏洞（CVE）編號，資安院也將持續追蹤後續情形。

資安院指出，參與計畫的藍隊廠商皆表達高度意願參與後續活動，紅隊研究員也肯定此次整體運作，並建議未來若能進一步明確揭露測試標的資訊與評估標準，將更有助提升漏洞挖掘成效。

資安院表示，規劃9月辦理第2屆漏洞獵捕活動，將以軟體供應鏈安全驗證為主軸，針對政府機關常用軟體項目，優先選擇使用率較高或涉及高風險情境的軟體進行驗證，透過公私協力模式強化MIT產品競爭力，讓台灣製造從Made in Taiwan邁向Make It Trusted。（編輯：萬淑彰）1150427