歐盟 CRA 上路倒數,資安院啟動台最大規模產品漏洞獵捕
為協助國內製造業迎接歐盟《網路韌性法案》(Cyber Resilience Act,CRA)帶來的全球資安新門檻,國家資通安全研究院(資安院)今日宣布正式啟動全台規模最大、由企業與本土研究員共同參與的「產品資安漏洞獵捕活動」。活動自 12 月 1 日起跑,將持續至明年 1 月 31 日,目標在產品上市前即完成資安抓漏,藉由主動發掘風險、縮短修補時程,提升台灣電子產品在國際市場的安全信任度。
此次活動吸引 11 家國內指標廠商響應,包含研華、亞旭、華碩、華芸、群暉、威聯通、正文、威強電、兆勤等企業,共投入 20 組網通、工控、NAS 等關鍵產品參與實測。活動也獲得超過 150 名台灣資安研究員報名,企業端更祭出總額 720 萬元獎金,推動產業與白帽社群建立更緊密的合作機制。資安院指出,活動啟動短短五天已收到首批 3 件漏洞通報。
資安院在本次活動中擔任紫隊角色,負責制定驗證標準、審查漏洞有效性並處理爭議,採用國際常見的紅隊(攻擊)—藍隊(防守)—紫隊(裁判)模式,以確保過程公開透明。資安院強調,透過「挖漏洞、修漏洞、賞獎金」正向循環,企業得以在 CRA 上路前建立符合國際規範的產品安全治理框架。
資安院院長林盈達表示,台灣企業面臨的國際合規挑戰日益升高,此次合作象徵產業界與資安社群共同強化產品安全的決心。獎金制度也比照國際漏洞評級標準,針對控制權奪取、敏感資料外洩等高風險情境設置加碼。經驗證有效的漏洞,資安院將協助廠商提出 CVE 申請,並在活動所設的「產品資安名人堂(Hall of Fame)」公開致謝研究員貢獻。
資安署署長蔡福隆則指出,漏洞獵捕將成為國內產品資安策略的長期工程,政府未來會以公私協作方式推動常態化辦理,讓更多廠商在產品開發初期即導入資安流程。他強調,MIT 必須從「Made in Taiwan」走向「Make It Trusted」,台灣製造不只代表品質,更必須代表安全可信,才能在全球供應鏈中取得更高價值。
(首圖來源:資安院)