喚醒產品資安意識

台灣高鐵台南站1月13日發生旅客掉落軌道遭撞意外身亡的事故，高鐵公司表示，目前正處於月台門建置工程階段（2025年1月開工），耗資新台幣20.5億元進行全線車站月台門工程，預計2028年全線完成。網路上有人表示早該做了，有人說旅客本身也必須共同承擔責任與風險，而不需要花這筆錢，甚至認為月台門會妨礙逃生。

恰巧這期封面故事探討的產品資安議題，也面臨這樣的兩難，廠商與企業雖然表示重視安全，但考量成本與使用便利性，經常犧牲部分安全性，雖然這幾年「設計即安全（Security by Design）」日益受重視，「預設即安全（Security by Default）」也成為推動產品資安的關鍵概念，然而，單靠事前的預防手段（如產品開發前段的設計與上市前的測試驗證），並不足以完整涵蓋產品資安範疇，因為，關於事中的察覺與事後的應變，也非常重要。

作為企業IT科技媒體，我們長期關注產品資安的消息，最大宗的是IT與OT產品的資安漏洞，以及濫用各種漏洞的攻擊活動與事故，也見證各個領域越來越重視這項議題。

首先，固定每月第二個星期二登場的微軟例行安全性公告（Patch Tuesday），是IT業界最具指標的產品資安活動，至2026年底，將屆滿23週年，能夠堅持這麼久，相當不容易，也替整個IT市場帶來顯著的示範作用。

後續有多家軟體廠商沿用這個頻率，定期發布旗下產品的資安漏洞公告，像是數位內容創作軟體大廠Adobe從2009年開始，針對Reader與Acrobat這兩大PDF軟體定期發布安全性公告，到了2019年擴及更多軟體產品；商用軟體大廠SAP，也在2012年加入Patch Tuesday的安全性更新行列；而從2025年起，多家OT廠商也響應Patch Tuesday，選在同樣的時段發布安全性更新與公告，像是西門子、施耐德電機、Honeywell、ABB等。

除了每個月定期揭露產品資安漏洞，在全球大型資安社群年度召開的會議前後，也是每年這類資訊大量浮出檯面的固定時機，像是年中的美國黑帽大會與DEF CON大會、年底的歐洲黑帽大會，Pwn2Own資訊安全駭客競賽，資安研究人員與新創資安廠商可能都會把握這些機會，公開他們新發現的重大資安漏洞，展現技術實力。

此外，各家廠商可能隨時發布資安漏洞公告，關注這類情報的資安研究人員，也會透過社群媒體發表或轉發消息，全球資安新聞媒體也持續緊盯網路威脅情資發布的動態，持續追蹤與轉達資安漏洞的研究、廠商公告，以及國家級資安機構的警報。

值得注意的是，早期廠商對於媒體這類報導的「反應」特別強烈。例如，我們根據廠商公告據實發布新聞，後續廠商竟表示希望能下架該篇新聞，我們檢視內容後發現並未扭曲事實，因此還是繼續保留。

也有廠商批評媒體經常報導他們的產品有資安漏洞，言下之意是認為媒體找麻煩，對此，我們會列出引述的多家資安新聞媒體報導，以及其他資安廠商、該廠商、研究人員的調查報告，希望他們回應此事與提供說法。由於這些廠商因為用戶數量龐大，原本就是眾多攻擊者密切關注的目標，再加上過去許多用戶對於套用漏洞修補機制的態度消極，因此，頻頻躍上媒體版面，然而，我們不能無視衍生的資安風險。

經過多次溝通，我們持續向廠商表達媒體必須抓緊時間將相關新聞傳達出去，讓用戶提高警覺、及早採取行動，並強調報導皆有所本，註明出處與來源。事實上，我們理解廠商抱持「家醜不可外揚」的心態，然而，若不想讓外界對廠牌有負面印象，何不主動說明？將問題說清楚、講明白，讓用戶與非用戶知道廠商目前處理的狀況，若能展現開誠布公的態度，才能真正贏得市場的信任。

可惜的是，截至目前為止，我們會接到資安廠商發現其他廠商產品有漏洞的新聞稿，或透過媒體或社群得知各廠商發布的資安漏洞公告，卻很少收到廠商主動揭露自家產品有資安漏洞的消息，顯然廠商仍無法平常心看待這類問題一定會發生，仍採取「越少人知道越好」的消極、逃避心態，然而，這些資訊落差的存在，正是網路攻擊能夠得逞的機會，當用戶因情報不足而遭殃，廠商名聲必定會受創，屆時還是丟臉，最終只有駭客稱心如意。