• 發布單位:TWCERT/CC
• 更新日期:2021-03-23
• 點閱次數:9312

美國MITRE於1999年發布了資安漏洞CVE(Common Vulnerabilities and Exposures)編號後，截至2021年2月已有國家CERT組織、產業CERT組織、研究機構及廠商等共26個國家、156個組織成為CVE編號管理者(CVE Numbering Authority, CNA)，可進行產品漏洞審核及CVE編號發布，以利大眾查閱與引用。

台灣電腦網路危機處理暨協調中心(Taiwan Computer Emergency Response Team / Coordination Center, TWCERT/CC)在2018年取得MITRE授權成為CNA成員，協助國內組織及企業審核及發放CVE編號。自2019年至2021年2月，TWCERT/CC已審核並發布共68個產品漏洞之CVE編號，其漏洞產品涵蓋國內DVR產品、智慧家電、語音設備、網通設備與軟體服務系統。

美國國家標準暨技術研究院(National Institute of Standers and Technology, NIST) (National Vulnerability Database)會依據CNA所通報之CWE (Common Weakness Enumeration)漏洞類型及CVSS (Common Vulnerability Scoring System)漏洞風險與影響程度進行評核，以確保CVE漏洞資訊的正確性及一致性。NIST/NVD(National Vulnerability Database)也會針對CNA提供的CWE與CVSS資訊和NIST/NVD審核的CWE與CVSS 資訊進行比對和評分，並以該評分從低至高將CNA成員分成參考者(Reference)、貢獻者(Contributor)及提供者(Provider)三個等級。其中，Provider等級必須與NIST/NVD審核結果達到95%以上的匹配率，而Contributor等級則必須達到70%以上之匹配率，由此可見Provider及Contributor等級的CNA均必須具備高度之技術水準方能得此殊榮。

至2021年2月全球156個CNA組織中僅4個組織同時獲得CVSS 3.1與 CWE均為Contributor等級。TWCERT/CC多年積極致力於我國產品漏洞之CVE審核與發布， 2021年在CVSS 3.1與 CWE均獲得美國NIST/NVD評核為Contributor等級之殊榮！除肯定TWCERT/CC的貢獻外，更彰顯國內企業對其產品漏洞修補配合度相當高，透過TWCERT/CC協助國內廠商處理產品漏洞，儘快完成漏洞緩解及修補，以避免駭客利用產品漏洞造成使用者遭駭之情況發生，並提升我國產品之資安防護能力。