此篇文章聚焦數位發展部資安院推動漏洞獵捕活動的政策意義與實際成果,說明台灣正嘗試以更主動、持續且制度化的方式,提升國內產品資安水準。文章開頭指出,資安院去年12月舉辦首屆漏洞獵捕活動,邀請研華、威強電等11家業者參與,涵蓋超過20項產品,並吸引179名本地資安研究人員投入,最後發現約20個漏洞。資安院長林盈達在文中表示,這項成果一方面展現國內資安研究社群的實力,另一方面也反映參與業者對自身產品有一定信心,願意將產品放到真實攻防情境中接受檢驗。此篇文章也提到,今年第四季將舉辦第二屆漏洞獵捕活動,並鼓勵研究人員使用AI工具輔助找漏洞,目標產品則將從首屆偏重硬體與網通設備,轉向國內公務機關常用的純軟體產品。
此篇文章進一步指出,傳統產品上市前的標準檢測雖然必要,但已不足以面對真實世界中的攻擊手法。資安院檢測防禦中心總監劉建良以「照著設計圖檢查」形容一般合規檢測,強調駭客攻擊並不會照設計圖行事,因此需要持續性的漏洞獵捕,由資安研究人員從實際攻擊角度找出潛藏缺口。文章也特別提到PSIRT,也就是產品安全事件應變小組的重要性,認為企業不能只在產品出問題後才被動補救,而應建立專責團隊,長期負責產品漏洞修補、風險判斷與安全改善。首屆活動中,紅隊由179名資安研究人員組成,藍隊則有11家廠商、20組產品參與,資安院則扮演第三方驗證角色,建立研究人員發現漏洞、企業修補漏洞、第三方確認風險的合作模式。這些漏洞涵蓋3個嚴重風險、6個高風險、10個中風險與1個低風險,目前均已完成修補。
此篇文章最後將重點放在漏洞獵捕活動對產業機制建立的長期影響。劉建良指出,首屆活動發現的漏洞具有實際攻擊價值,例如預設密碼、弱密碼、參數檢查不足造成命令注入,甚至可能導致任意檔案存取,顯示工業網通設備在資安成熟度上仍有落差。首屆活動雖募集720萬元獎金池,實際發出53.9萬元獎金,但其價值不只在獎勵研究人員,更在於鼓勵業者正視產品安全設計、取得CVE國際漏洞編號,並讓貢獻者獲得公開肯定。今年第二屆活動預計9月至10月開放報名,獎金池目標提高至800萬元,並預計邀請20家廠商加入,鎖定政府機關常用、高使用率、高風險或關鍵資安軟體。整體而言,文章呈現資安院希望將漏洞獵捕從一次性活動推進為長期制度,串連政府、產業與資安社群,共同強化台灣軟硬體供應鏈安全。
