近年来,全球各国积极制定产品安全、物联网安全法规,可看出各界将产品基本安全要求的标准拉高。因为企业与使用者要顾好资安,有时更是垫基于所使用的产品是否足够安全,是否预设为安全配置,以及漏洞处理与通报机制的建立。
在2025年台湾资安大会产品资安论坛上,国际产品资安法规成焦点之一,(二)推动PSIRT及台湾ICT产品漏洞猎捕计划
去年资安院接手TWCERT/CC的维运,在企业沟通上,更强调以情资为主的沟通,而在产品资安的面向,现在也希望推动更多国内ICT制造商能成立PSIRT,确保漏洞即时通报修正更新。
例如,透过TWCERT/CC与各个企业PSIRT的联系管道的建立,确保企业能及时接收、评估、回应并修补产品漏洞。
同时也会规画提供相关资源,帮助产业知道如何建立PSIRT与通报制度,像是制定PSIRT指引文件,规画PSIRT漏洞通报修补程序的内容等。特别的是,现在他们正与资安署讨论是否将PSIRT的要求,纳入政府采购规范。
不仅是推动企业建立PSIRT,资安院还有另一项重要行动,将建立ICT产品Bug Bounty漏洞猎捕计划,这是类似于ZDI计划的机制,不过是由资安院扮演第三方角色,将邀请国内共同供应契约厂商与国内主要资通厂商提供产品,并协助筛选资格足够的白帽骇客,来帮助及早发现未知的潜在问题。