全方位整合與自動化網路資安廠商 Fortinet®(NASDAQ:FTNT),於5月22日宣布作為美國網路安全暨基礎設施安全局(CISA)所制定的「安全納入設計」(Secure by Design)原則的早期簽署夥伴,Fortinet 積極實踐其長期以來的負責任的公開透明承諾。這項自願性承諾不僅是 Fortinet 對現有產品軟體安全的最佳實踐,其中也包括 CISA、美國國家標準和科技機構NIST,以及國際和產業合作夥伴訂定的準則。該承諾概述了七個目標,包括 Fortinet 列為產品安全開發原則的負責任漏洞披露政策。
Fortinet 台灣區總經理吳章銘表示:「Fortinet 致力於成為商業道德和負責任產品開發以及漏洞披露的典範。作為這項承諾的一部分,Fortinet 積極遵循國際以及產業上的最佳實踐,並在我們各方面的業務上堅守最高安全標準。Fortinet 也積極鼓勵台灣科技領域中的產、官、學界共同投入這項承諾,確保組織安全。」
採安全納入設計與負責任的漏洞披露原則
Fortinet 現有的產品開發流程,採用安全納入設計和預設安全(secure-by-default)原則,與 CISA 最新倡議高度契合。Fortinet 重視嚴格的產品安全審查,並落實於產品開發生命週期的每個階段,以此確保產品的安全性在設計階段時就被採納,並延續到產品生命週期結束,具體呈現以下幾個面向:
- 安全的產品發展生命週期:
Fortinet 將其流程根據領先的標準進行調整,包含NIST 800-53、NIST 800-161、NIST 800-218、US EO 14028 和英國電信安全法。 - 紮實的產品安全測試:
Fortinet將靜態應用程式安全性測試(SAST)和軟體組成分析,建構於流程中。在每次產品發布以前進行動態應用程式安全性測試(DAST)、漏洞掃描和模糊測試,以及滲透測試和手動代碼稽核。 - 可信賴供應商計畫:
為了確保對於主要合作夥伴的嚴格篩選和資格認定,Fortinet 遵守 NIST 800-161網路安全供應鏈風險管理指南。落實資料隱私和安全的承諾,已融入公司業務的每個部份,以及產品開發、製造和交付過程。 - 資訊安全計畫:
Fortinet 的資訊安全計畫奠基於產業領先的安全標準和框架,涵蓋ISO 27001/2、ISO 27017 和 27018,以及 NIST 800-53,以及 GDPR 和 CCPA 等資料隱私政策。 - 第三方認證:
Fortinet 產品定期進行且通過第三方產品品質標準認證,例如 NIST FIPS 140-2 和 NIAP Common Criteria NDcPP / EAL4+ 等標準。
引領全球資安業界的資訊公開透明文化,促進國際公私協力遏阻網路威脅
此外,Fortinet產品資安事件應變小組(PSIRT)負責維護產品的安全標準,並運作著產業中最強韌的PSIRT計畫之一,其中重要的工作包括主動且公開透明地披露漏洞。在 2023 年,近 80% 的 Fortinet 漏洞是經由內部嚴格的審核流程而發現的。此主動性的措施,有助於漏洞能在被惡意利用之前修補及改善。Fortinet與客戶、獨立安全研究人員、顧問、產業組織和其他供應商緊密合作,完成每一次的 PSIRT 任務。
