中央消息(中央社记者赵敏雅台北27日电)数发部资安署指导资安院办理首届产品资安漏洞猎捕,共集结11家国内资通信大厂,针对20组产品进行测试。资安院今天公布,最终确认20项有效漏洞,其中包含3项严重等级与6项高风险漏洞。资安院举办首届漏洞猎捕活动成果记者会,资安署署长蔡福隆指出,随着欧盟「网络韧性法」等国际规范陆续上路,强化台湾产品安全与创建供应链信任已成为关键。资安院首届漏洞猎捕活动成果丰硕,之后会再办理第2届,促使业者更重视产品资安,也让政府机关或企业在采用资安产品时,有非常安全的环境。资安院说明,活动共集结11家国内指针性资通信大厂、179位本土资安研究员,针对网通设备、网络保存设备及工业网通等20组产品进行测试,最终确认20项有效漏洞,其中包含3项严重等级与6项高风险漏洞。资安院指出,这次活动发现有效漏洞中,部分组件因使用弱密码可能导致任意文件遭读取,也有因未妥善检查参数输入格式,而产生命令注入风险等漏洞。资安院表示,179位研究员中,共有25人成功提交漏洞报告,通过研究员从实际攻击者视角进行测试,使厂商得以在产品上市前即掌握潜在问题,将原本可能于上市后才暴露的风险提前处理。目前已有厂商配合申请取得6个通用弱点与漏洞(CVE)编号,资安院也将持续追踪后续情形。资安院指出,参与计划的蓝队厂商皆表达高度意愿参与后续活动,红队研究员也肯定此次整体运作,并建议未来若能进一步明确揭露测试标的信息与评估标准,将更有助提升漏洞挖掘成效。资安院表示,规划9月办理第2届漏洞猎捕活动,将以软件供应链安全验证为主轴,针对政府机关常用软件项目,优先选择使用率较高或涉及高风险情境的软件进行验证,通过公私协力模式强化MIT产品竞争力,让台湾制造从Made in Taiwan迈向Make It Trusted。(编辑:万淑彰)1150427