文/鄭宜芬
為因應歐盟《網路韌性法案》(CRA)2027 年上路帶來的國際合規挑戰,國家資通安全研究院今(10)日宣布啟動大規模聯合廠商與本土資安研究員「資安漏洞獵捕活動」,協助國內廠商落實「產品資安上市先做資安抓漏、資安院辦理獵捕攻防先暖身」的精神,從「被動防禦」轉變為「主動風險發掘」,縮短產品修補時程,進而提升臺灣電子產品在歐美市場的安全信任度。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
該活動已自 12 月 1 日展開,並持續至2026年 1 月 31 日。活動匯聚研華科技、亞旭電腦、華碩科技、華芸科技、正文科技、威強電工業電腦、四零四科技、威聯通科技、群暉科技、兆勤科技與勤晁科技等 11 家國內指標性大廠,針對網通設備、NAS、工業網通設備等 20 組關鍵產品進行實測。目前已吸引超過 150 位本土資安研究員投入,參與廠商投入高達 720 萬元獎金。截至 12 月 5 日,已陸續收到 3 件初步通報案件,顯示獵捕活動已展現初期成效。
[ 推薦閱讀:資安雙面刃 生成式 AI 三大風險與機會 ]
助廠商縮短修補時程、提升國際信任度
資安院說明,資安院負責搭建平台、制定驗證標準以及擔任公正裁判,活動採用國際通用的「紅(攻擊)–藍(防守)–紫(裁判)」協作模式,資安院特別擔任的「紫隊」角色,負責制定漏洞驗證規則、審查漏洞有效性並進行爭議仲裁。透過資安院建立的「挖漏洞、修漏洞、賞獎金」正向循環機制,不僅確保過程公平透明,更協助企業建立符合國際規範的產品安全治理體系。
資安院院長林盈達表示,此次活動展現產業界與資安社群共同強化臺灣產品資安的決心,也為臺灣加速接軌國際奠定重要基礎。為鼓勵頂尖好手並接軌國際,獎金發放將依循國際通用的漏洞風險分級標準,針對高風險情境,如竊取機密資料或奪取系統控制權更設有加碼獎金。經資安院驗證有效的漏洞,將協助廠商提交常見漏洞與暴露 (CVE, Common Vulnerabilities and Exposures)申請,並於本活動設立的「產品資安名人堂(Hall of Fame)」公開致謝,肯定其技術貢獻。
資安院院長龔化中以「毒蘋果」形容產品漏洞威脅,強調產品漏洞是攻擊者間接入侵的重要途徑,須前移防禦。歐盟法規將安全責任指向廠商,違規將面臨商標禁用與高額罰款。此次活動與北科大以 Sandbox 降低研究成本與風險,建立可信第三方評級與獎勵。
資安署署長蔡福隆強調,漏洞獵捕活動是我國產品資安計畫的重要一環,未來將持續透過公私協力模式推動產品資安,並將此活動常態化舉辦,讓更多國內廠商參與,使MIT 從「Made in Taiwan」邁向「Make It Trusted」,讓臺灣製造代表品質保證,也代表安全可信,成為全球供應鏈中的重要價值標誌。他亦肯定資安院聯合產業界推動國內最大規模產品漏洞獵捕的努力,強調此舉對強化我國產品資安與接軌國際具有重大意義。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
