【明報專訊】「安心出行」程式近日增至600萬次下載,私隱保安成關注。政府委託獨立第三方為安心出行作保安風險評估及審計,資訊科技界組織「前線科技人員」昨日發文稱,承辦商只用幾套現成工具為程式測試及審核,質疑只能滿足資訊安全最低最求。有業界人士認為若政府日後強制市民使用程式,或程式與內地「健康碼」接軌並儲存更多個人私隱資料,必須加強風險評估。
資科辦稱承辦商有專業認證
政府資訊科技總監辦公室回覆稱,絕不認同有關團體的質疑,稱負責為程式作保安風險評估及審計的承辦商是「優質資訊科技專業服務常備承辦協議」下的合資格承辦商,承辦商人員持有合乎要求的資訊保安經驗和專業認證。
現成工具測試 業界:最低要求
安心出行網頁今年8月底上載保安風險評估及審計報告。「前線科技人員」昨在facebook表示,承辦商只用幾套現成工具包括OWASP ZAP、MobSF及Fortify Audit Workbench等測試及審核,質疑只滿足資訊安全最低最求。組織以Fortify Audit Workbench為例,稱它可找到「手板眼見」的編程漏洞,但對更高層次、涉整體系統架構的漏洞則無能為力。該組織稱,若安心出行只是普通程式,「或者都可以收貨」,但涉及700萬人私隱,如此程度的保安評估是遠遠不夠,建議政府開放源碼,參考科技公司設獎金獎勵發現漏洞的人,才能加強市民信心。
香港互聯網協會開放數據小組召集人黃浩華認為,上述工具應付到較基本要求,包括檢查軟件有否明顯程式設計錯誤,但如有用第三方程式庫協助開發程式,工具未必能全面找出漏洞。他說,安心出行雖沒要求輸入身分證等個人資料,但相信未來很大可能與內地健康碼接軌,並要求市民儲存更多個人資料,屆時以此保安風險評估並不足夠,須加強風險評估並有更詳細審計。
資科辦表示已公開安心出行技術規格,亦已就開放源碼課題詳細解釋,沒計劃進一步公開源碼。
