按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

TWCERT/CC發布之CVE資安漏洞品質,獲美國NIST/NVD評核為Contributor

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-03-23
  • 點閱次數:3811

美國MITRE於1999年發布了資安漏洞CVE(Common Vulnerabilities and Exposures)編號後,截至2021年2月已有國家CERT組織、產業CERT組織、研究機構及廠商等共26個國家、156個組織成為CVE編號管理者(CVE Numbering Authority, CNA),可進行產品漏洞審核及CVE編號發布,以利大眾查閱與引用。

台灣電腦網路危機處理暨協調中心(Taiwan Computer Emergency Response Team / Coordination Center, TWCERT/CC)在2018年取得MITRE授權成為CNA成員,協助國內組織及企業審核及發放CVE編號。自2019年至2021年2月,TWCERT/CC已審核並發布共68個產品漏洞之CVE編號,其漏洞產品涵蓋國內DVR產品、智慧家電、語音設備、網通設備與軟體服務系統。

美國國家標準暨技術研究院(National Institute of Standers and Technology, NIST) (National Vulnerability Database)會依據CNA所通報之CWE (Common Weakness Enumeration)漏洞類型及CVSS (Common Vulnerability Scoring System)漏洞風險與影響程度進行評核,以確保CVE漏洞資訊的正確性及一致性。NIST/NVD(National Vulnerability Database)也會針對CNA提供的CWE與CVSS資訊和NIST/NVD審核的CWE與CVSS 資訊進行比對和評分,並以該評分從低至高將CNA成員分成參考者(Reference)、貢獻者(Contributor)及提供者(Provider)三個等級。其中,Provider等級必須與NIST/NVD審核結果達到95%以上的匹配率,而Contributor等級則必須達到70%以上之匹配率,由此可見Provider及Contributor等級的CNA均必須具備高度之技術水準方能得此殊榮。

至2021年2月全球156個CNA組織中僅4個組織同時獲得CVSS 3.1與 CWE均為Contributor等級。TWCERT/CC多年積極致力於我國產品漏洞之CVE審核與發布, 2021年在CVSS 3.1與 CWE均獲得美國NIST/NVD評核為Contributor等級之殊榮!除肯定TWCERT/CC的貢獻外,更彰顯國內企業對其產品漏洞修補配合度相當高,透過TWCERT/CC協助國內廠商處理產品漏洞,儘快完成漏洞緩解及修補,以避免駭客利用產品漏洞造成使用者遭駭之情況發生,並提升我國產品之資安防護能力。

回頁首