資安院9月啟動第二屆漏洞獵捕　鎖定政府機關常用軟體強化供應鏈安全

國家資通安全研究院（資安院）於4月27日公布首屆「產品資安漏洞獵捕活動」成果，並同步宣布將於今年9月舉辦第二屆活動，以「軟體供應鏈安全驗證」為核心主軸，優先針對政府機關常用軟體進行測試驗證。此舉標誌著台灣產品資安驗證機制正式進入常態化階段，也為本土資安生態圈建立更具系統性的公私協力框架。

首屆活動奠定基礎：20項有效漏洞，含3項嚴重等級

首屆漏洞獵捕活動由數位發展部資通安全署指導、資安院主辦，共集結11家國內指標性資通訊大廠與179位本土資安研究員，針對網通設備、網路儲存設備（Network Attached Storage，NAS）及工業網通等20組產品進行實測。

活動最終確認20項有效漏洞，其中包含3項嚴重等級（Critical）與6項高風險（High）漏洞。179位參與研究員中，共有25位成功提交有效漏洞報告。目前已有廠商配合申請取得6個通用弱點與漏洞（Common Vulnerabilities and Exposures，CVE）編號，資安院表示將持續追蹤後續修補辦理情形。

資安院指出，本次發現的漏洞類型包含：部分元件因使用弱密碼可能導致任意檔案遭讀取，以及因未妥善檢查參數輸入格式而產生的命令注入（Command Injection）風險。這些問題若未在上市前發現，極可能在產品部署後成為駭客入侵的切入點。

紅藍對抗模式：讓廠商在上市前就看見攻擊者視角

本次活動採用業界常見的「紅隊對抗（Red Team）」概念，讓資安研究員以實際攻擊者的視角對產品進行滲透測試（Penetration Testing），協助廠商提前掌握潛在風險，將原本可能在上市後才暴露的安全議題提前處理。

活動結束後，參與的藍隊廠商普遍表達高度意願持續參與後續活動；紅隊研究員則建議，若未來能進一步明確揭露測試標的資訊與評估標準，將更有助提升漏洞挖掘成效。雙方正向回饋顯示，此一公私協力模式已在台灣資安產業初步建立信任基礎。

接軌CRA法規壓力　出口導向產品安全驗證刻不容緩

本次活動優先選擇網通設備、NAS及工業網通等產品，背後有明確的政策考量。隨著歐盟《網路韌性法》（CRA）等國際規範逐步上路，台灣相關產品在出口海外時，面臨愈來愈嚴格的安全合規要求。資安院表示，透過漏洞獵捕活動與上市前既有資安檢測程序相互補強，可有效降低廠商在國際市場上因安全問題遭受衝擊的風險。

第二屆聚焦軟體供應鏈　政府常用軟體列為優先驗證標的

展望第二屆活動，資安署與資安院規劃將主軸轉向「軟體供應鏈安全驗證」，優先選擇政府機關使用率較高、或涉及高風險情境的軟體項目進行驗證。

軟體供應鏈（Software Supply Chain）安全近年已成為全球資安治理的核心議題。從2020年的SolarWinds事件到近年層出不窮的開源套件投毒攻擊，供應鏈中的任一環節若出現漏洞，都可能成為入侵政府機關或關鍵基礎設施的跳板。資安院此次將驗證重心從硬體設備轉向軟體供應鏈，顯示台灣資安政策正在回應此一趨勢。

從「Made in Taiwan」邁向「Make It Trusted」

資安院強調，推動產品資安驗證的長遠目標，在於協助台灣製造業從「Made in Taiwan」邁向「Make It Trusted」，在國際市場上建立可信賴的品牌形象，同時強化國家整體數位韌性。

透過每屆聚焦不同產品類型與安全主題，漏洞獵捕活動有望逐步建構涵蓋硬體設備、工控系統與軟體服務的完整驗證體系，成為台灣產品安全生態的重要基石。第二屆活動預計於今年9月登場，相關報名與參與資訊，資安院將於活動前另行公告。