【資安日報】4月28日,資安院宣佈第二屆漏洞獵捕活動,為公務機關最常使用的軟體抓漏
活動背景與目標
國家資通安全研究院(資安院)於4月28日宣佈舉辦第二屆「產品資安漏洞獵捕活動」,活動目標轉為針對公務機關最常使用的軟體進行漏洞挖掘,以強化軟體供應鏈安全。
與首屆活動對比
有別於首屆活動聚焦於硬體與網路通訊設備,第二屆活動將目標轉向軟體,並開放AI工具參與漏洞挖掘,提升檢測效率與精準度。
活動重點與規劃
- 活動將以「軟體供應鏈安全驗證」為核心主軸。
- 優先針對政府機關常用且具高風險的軟體進行測試。
- 資安院預計於今年第三季舉辦第二屆活動,並計畫擴大規模與經費支持。
獎金與參與動機
第二屆活動總獎金預計上看800萬新臺幣,並獲得數位發展部資安署經費支持,強化公私協力的漏洞獵捕機制。
過去成果
首屆活動已發現20個有效硬體產品漏洞,部分元件因使用弱密碼或參數輸入格式未妥善檢查,導致任意檔案讀取或命令注入等風險。