台湾加入FIRST国际网络安全应变组织成员数量再创新高，台积电、广达、日月光入列

近年来，网络安全事件持续冲击国内企业，持续做好防护与监控之余，具备充分的事件应变能力也很重要，而且这并不只是个别公司的问题，同时也需更多企业与组织一起合作，彼此交换威胁情报与应变作为。而在推动全球网络安全应变协同合作的领域当中，国际网络安全事件紧急应变小组论坛（FIRST）扮演关键角色，而参与成员数量的增长，也反映大家对于网络安全的重视程度。

FIRST全名Forum of Incident Response and Security Team，存在目的主要是协助国际网络安全事故应变，提供威胁情资与各式网络安全事件调查技术等信息。

在国际网络安全事件紧急应变小组论坛（FIRST）的成员中，截至今年1月12日止，全球总计有106国、709个网络安全应变团队加入，美国最多（109个），其次为西班牙（55个）、日本（44个）、德国（38个）、法国（24个）、挪威（23个），以及英国（22个）、瑞士（22个）与哥伦比亚（22个）。可从下图中绿色深浅看出数量差异，颜色越深、数量越多。

中国台湾现有FIRST成员已达17个，尤其2023年呈现明显暴增的趋势：2月台积电TSMC-CIRC、微智安联ShieldX PSIRT加入，3月是广达QUANTA-CSIRT，8月是杜浦数字安全TeamT5 CSIRT，以及11月是日月光集团ASEKH_CSIRT。

这当中有两家网络安全业者，三家高科技及电子制造业，而且都是全球知名的业界龙头，包括晶圆代工的台积电，服务器与笔电代工的广达，以及IC封测代工的日月光集团。

针对加入FIRST的厂商与企业增加的现状，台湾网络信息中心负责人表示，显然这些公司已认识到供应链网络安全的重要性，而加入国际的重要网络安全组织，对于企业的品牌、知名度，甚至客户关系，也都会有加分的效果。

此外，另一个更多企业愿意加入的原因，不只是能因此取得第一手的情资，以及有相关教育训练与研讨会可以参加，更重要的是，在FIRST组织的场合或活动，有许多国际上下游厂商出席，因此客户与供应商联系更方便，或是利于开拓其他市场，也让客户可以更容易找到自己。

国际网络安全应变组织FIRST在2023年11月，针对普遍使用的漏洞风险评分系统（CVSS），推出4.0版，这是2019年6月CVSS 3.1版推出后，时隔4年的重大改版。

为了更好传达软件漏洞的特征和严重性，新版对于严重性的分数呈现，有更精细的设计与改进，最明显的变化就是，不只是基本分数的CVSS-B，还有基本评分加上威胁的评分CVSS-BT，基本加上环境的评分CVSS-BE，以及基本加上威胁、环境的评分CVSS-BTE。

同时，新版还增加几项不影响评分的外在属性标签，例如：安全性、可自动化（可蠕虫化）、恢复、价值密度（Value Density）、漏洞响应的努力，以及供应商急迫性等。 另外，也对OT、ICS、IoT类型的系统，提供额外评估指标。