近兩年更多臺廠加入成為CVE編號管理者，涵蓋網通、IC設計、資安等類型廠商

隨著資安研究人員通報、揭露漏洞的消息不斷，設備或元件製造商為了展現對產品安全的重視，不只設立產品資安事件應變小組（PSIRT）統籌因應，近兩年來，加入MITRE CNA計畫、成為其合作夥伴，也成為不少企業看重的面向。

基本上，資安界普遍熟知的CVE漏洞編號，是美國MITRE通用漏洞揭露計畫所提出的制度，在此當中，各CVE編號其實是由漏洞編號授權單位指派，也就是CVE numbering authority（CNA）計畫的成員，特別的是，在10月18日，CNA協調工作小組主席Tod Beardsley宣布，新推出CNA指導計畫，希望透過成員彼此互助，帶動更多業者加入。

根據MITRE CNA成員列表所示，包含國家級的CERT組織在內，目前（至11月25日止）全球已有35國、259家機構組織及企業，參與這項計畫。而隨著今年10月這項指導計畫的推出，也意味著將有更多類型廠商、業者，能夠更容易提出加入成員的申請。

而在臺灣，這兩年內有更多業者響應此計畫。不只網通設備大廠兆勤科技（Zyxel），後續又出現兩家業者，一家是IC設計大廠聯發科（MediaTek），另一家是資安業者如梭世代（ZUSO Generation），還有NAS業者華芸再次重新申請加入。

可更快掌握產品資安問題，不只NAS業者，其他廠商也看重

以臺灣業者加入MITRE CNA合作夥伴的狀況來看，早年，主要是NAS業者積極參與，例如，在2017年，群暉、威聯通、華芸申請加入為CNA合作夥伴，可指派自家產品的CVE漏洞編號。到了2018年，台灣電腦網路危機處理暨協調中心TWCERT/CC亦申請加入，目的是為了推動臺灣業者產品的安全，重視漏洞修補，並提供通報上的協助，而其權限涵蓋範圍較大，可負責所有臺灣資通訊產品的CVE漏洞審核，除非被通報的臺灣產品業者本身就是MITRE CNA合作夥伴。

至於聞名全球的臺灣資安業者，如趨勢科技及旗下漏洞通報平臺ZDI，其實亦早已成為MITRE CNA合作夥伴，但兩者在所屬國家被歸類於日本，應是趨勢科技為日本上市公司的緣故。

在2020年底時，臺灣僅有3家組織與企業，但這兩年又開始有更多業者申請參加，現在已有7家成為MITRE CNA合作夥伴。例如，去年我們報導兆勤科技（Zyxel）加入MITRE CNA計畫，他們不僅是國內上市櫃公司加入的首例，該公司當時亦表示，他們觀察到更多國際大廠加入的趨勢。

在此之後是IC晶片設計大廠聯發科，他們於2021年10月時發布加入的消息、成為CVE編號管理者。根據該公司公開揭露的資訊，聯發科針對旗下各產品線均已設立專屬PSIRT團隊，加入MITRE CNA計畫的主要目的，是希望更迅速掌控安全性問題，更即時完成漏洞修補。

他們還有哪些強化產品安全的作為？去年底該公司已聚焦產品安全開發流程，導入BSIMM評測機制，保護晶片設計相關軟體開發過程，同時也發布了漏洞獎勵計畫，借助外部研究人員找出未知漏洞問題。

顯然，聯發科已展現積極正面看待安全事件處理的態度，並提及收到外部安全事件通報時，要落實五大步驟，包括：事件確認、修補、更新、公告與致謝。

進一步檢視該公司官方網站，也可以看出成效。例如，在產品安全致謝頁面，或是產品安全公告頁面上，從去年1月至今，每月都有十幾到二十多個漏洞的修補，定期以公開透明方式揭露，而去年其CVE漏洞的指派CNA單位，主要為Android（associated with Google Inc. or Open Handset Alliance），到了2022年，我們可以發現，新指派的漏洞，已經是由聯發科自己審核發布。

另一家加入MITRE CNA的業者，是資安公司如梭世代，今年5月時發布加入。較特別的是，不同於國家級CERT或廠商類型的CNA，該公司申請的是弱點研究小組（Vulnerability Researchers）的CNA，當發現各廠商產品或服務漏洞時，他們將可與廠商溝通弱點技術，並指派CVE編號。目前，全球有53個組織屬於研究小組的角色，如梭世代是臺灣首家申請的業者。

過去該公司曾挖掘出35個CVE漏洞並通報，當中多數為國內業者的產品漏洞，我們從TWCERT/CC所建置的TVN漏洞公告平臺，即可看到有些漏洞的通報者是如梭世代，而CVE編號是由TWCERT/CC來指派。

如今，在今年5月後，如梭世代加入CNA計畫成員，這意味著，本身具備指派CVE ID的能力。該公司表示，現階段已有挖掘出的新漏洞，只是仍處於不便公開階段，將會依循標準漏洞政策程序揭露，日後才會公開。

至於華芸，我們在去年注意到該公司竟不在CNA成員名單之列。對此，該公司表示，他們在2017年就已加入，但因為在隔年沒注意到相關規範，而未定期更新與參與工作小組活動，而被MITRE取消資格。但隨著2021年NAS資安問題一再被突顯，促使該公司決定再次申請，並於9月底重新獲得資格，隔月正式對外宣布。

無論如何，臺灣有更多廠商能夠取得MITRE CNA的成員資格，別具意義，而我們也觀察到，在最近一個多月，全球成員增加達17個，以整體成員共259家來計算，數量增長幅度算是顯著。而隨著MITRE CNA指導計畫的發布，對於想加入的組織或業者而言，將是更為友善，因為他們設置一專門的Google表單供申請者填寫，對於既有CNA成員而言，可以申請成為指導者，提供CVE漏洞撰寫的經驗協助，對於想要加入的新成員而言，可望更容易聯繫到CNA協調工作小組，請求指導者能提供這方面的協助。

截至2022年11月29日止，成為MITRE通用漏洞揭露計畫的CVE Numbering Authority（CNA）合作夥伴，全球共35國、259家機構與企業參與，其中，臺灣組織企業有7家，包括：群暉科技（Synology）、威聯通（QNAP）、台灣電腦網路危機暨協調中心（TWCERT/CC）、兆勤科技（Zyxel）、聯發科（MediaTek）、華芸（Asustor）與如梭世代（ZUSO Generation）。

近期CNA協調工作小組（CNACWG）主席Tod Beardsley宣布，將推出成員彼此互助的CNA指導計畫，這也意味，如今他們也期盼借助合作夥伴之力，來擴展更多的成員加入。