推动国内产品漏洞修补，TWCERT/CC已指派近200个CVE漏洞，近期发布品质并获评最高等级

继群晖、威联通之后，近期台厂Zyxel也获得MITRE授权，成为CVE编号管理者（CNA），可针对自家产品指派CVE编号，强化业者本身产品安全性与掌控CVE资讯的揭露。然而，加入CNA成员的单位，不只是产品供应商，也包含来自全球各国或产业的CERT组织，以及研究机构、漏洞提报组织等，例如，台湾电脑网络危机处理暨协调中心（TWCERT/CC）也是一员，他们在2018年9月申请通过成为CNA。

事实上，TWCERT/CC近年已发布不少国内厂商产品的CVE漏洞（近200个），而且，更特别的是，今年7月中旬又传来捷报，因为该单位发布的CVE资安漏洞品质，获美国NIST/NVD评定为最高Provider等级。

提升台湾厂商产品漏洞修补意识

不同于产品供应商CNA，只能管理自家产品有关的漏洞，TWCERT所获得的权限较广，目前可负责其他所有台湾资通讯产品的CVE漏洞审核。

TWCERT/CC当初为何加入CNA计划？该机构的组长林志鸿表示，起初他们是参考JPCERT的做法，因此申请成为一员，而最关键的原因，是因为台湾业者之前在产品漏洞修补的观念较不足，希望借此让这些公司能慢慢接受，提升台湾产品的安全。

而在TWCERT/CC加入CNA之后，一旦有研究人员发现台湾产品漏洞并向CNA通报后，TWCERT/CC将与厂商联系，请他们修补，一旦厂商完成修补，将请通报者验证，若修补有效后，即公开CVE。在此期间，林志鸿表示，有些国内厂商确实这方面的观念不足，使得他们需要花很大力气说服对方，让这些业者收到通报，并要做好产品漏洞修补。

事实上，过去就曾出现一些状况，例如研究人员发现漏洞却无法联系到台湾原厂。而在2015年，台湾有资安社群打造漏洞通报平台HITCON ZeroDay，让研究人员一旦发现网站或厂商产品有漏洞，可以此帮助企业与通报者，使彼此之间有互信的沟通管道，近年并衍生漏洞奖励计划与企业征才等功能。

而对于TWCERT/CC而言，取得MITRE CNA成员身份后，研究人员发现厂商产品漏洞时，现在多了这个通报管道，他们同样能认可通报人员的贡献，在漏洞资讯页面公布漏洞通报者，但最特别之处，还是可以发布CVE。

而经过这几年以来，TWCERT/CC已经发布近200个CVE漏洞。这项工作从2019年开始，当时只发布27个CVE漏洞；到了2020年，他们发布58个，今年数量更是大增，光是上半年就有71个，若单就7月这一个月内（至23日止）来看，他们就已经发布多达39个CVE漏洞。

而在TWCERT/CC成为CNA之后，也提供通报上的协助，可因应之前研究人员发现国内外产品CVE漏洞，但因找不到通报管道而公开漏洞的状况，减少后续的困扰。

台湾电脑网络危机处理暨协调中心（TWCERT/CC）在2018年9月发布成为CVE 编号管理者（CNA）的消息，并建置了台湾漏洞纪录（TVN）平台，至今已经指派205个CVE漏洞。

 

 

在台湾漏洞纪录（TVN）平台上，可以看到所有TWCERT/CC指派的国内产品CVE漏洞，当中描述各别漏洞的CVSS、影响范围，以及原厂的修补，并会公布该漏洞的通报者，认可其贡献。而在此平台的通报者，除了有独立研究人员，也有许多国内资安业者的的研究人员，举例来说，包括戴夫寇尔（DEVCORE）、中华资安国际（CHT）、卢梭世代（ZUSO ART）等，特别的是，也有厂商产品是来自自身的通报到此平台，例如，华硕（ASUS）。

对于CVE漏洞的认定与严重度获认可

除了CNA成员的身份，特别的是，最近TWCERT/CC也在这方面的努力上获得肯定。因为他们发布的CVE资安漏洞品质，在CVSS 3.1与CWE项目，都获美国NIST/NVD评选为最高的Provider等级。

对此，林志鸿说明，这项评估全球CNA发布品质的方式，主要有两大类别，一是对漏洞的认定是否正确，也就是CWE的归纳，另一是对漏洞严重度的评估是否正确，也就是CVSS评分。

而且，这项评核会持续调整，例如，今年3月，TWCERT/CC在这两项拿到第二高的Contributor等级，到了7月11日，他们在CWE、CVSS等两项，都获得了最高的Provider等级，在目前（至23日止）取得CAN资格的179个组织中，CWE项目有13个厂商或机构取得Provider，CVSS项目有5个厂商或机构取得Provider，而两项都保持在Provider等级，只有Adobe与TWCERT/CC。

台湾现在其他CNA成员的状况如何？举例来说，NAS厂商群晖科技于6月30日的评核中，在CWE项目获得Provider等级，在CVSS 3.1获得Contributor等级；另一家NAS厂商威联通于7月8日，也在CWE项目获得Provider等级，分类在日本的趋势科技旗下ZDI，也在7月2日于CWE项目获得Provider等级，至于Zyxel因为才刚加入，还没有相关评核结果。

TWCERT/CC在2018年取得MITRE授权成为CNA成员，近期他们发布的CVE漏洞品质，获美国NIST/NVD评选为最高的Provider等级。基本上，这项对CNA成员的评分，从高至低分成提供者（Provider）、贡献者（Contributor）与参考者（Reference）三个等级。根据TWCERT/CC的说明，Provider等级需与NIST/NVD审核结果达到95%以上的匹配率，而Contributor等级则是70%以上的匹配率。