DJI Trust Center 的安全審計可信嗎？

DJI 所列的安全審計多屬窄範圍、限時性的滲透測試，僅反映特定時間點與特定範圍的安全狀態，無法等同於全面性或持續性的安全保證，不宜直接視為國安層級的安全背書。

滲透測試和全面安全審計有什麼差別？

滲透測試是在有限時間內，針對特定目標進行的模擬攻擊測試，屬於快照式檢測。全面安全審計則涵蓋完整產品線、後端基礎設施、資料流與持續性監控，兩者在範圍與深度上有本質差異。

應要求查閱審計的完整範圍與條件說明，確認測試時間點與目前產品版本是否一致，並考慮委託獨立第三方進行持續性安全評估，而非僅依賴廠商自行提供的認證文件。

Highlights

DJI Trust Center 所列安全審計多屬窄範圍、限時性滲透測試，並非持續性安全監控。

分析指出 DJI 將有限的快照式測試結果系統性包裝為國安層級的安全保證。

滲透測試存在時間、範圍與深度三大侷限，無法涵蓋韌體更新後的安全狀態。

資安專家質疑 DJI 以有限審計報告作為產品安全無虞的核心政策遊說論據。

採購單位應確認審計範圍、測試版本一致性，並考量獨立第三方持續性評估。

大疆（DJI）在其「Trust Center」網頁上列出了一系列安全審計與認證資料，試圖向外界證明其產品的資訊安全性。然而，一項針對這些文件的深入分析揭露了一個關鍵問題：技術現實與行銷包裝之間存在巨大落差。

分析指出，DJI 所引用的安全審計報告多數屬於「窄範圍、限時性」的滲透測試（penetration test）。這類測試的本質是在特定時間點、針對特定範圍進行的快照式安全檢測，並非持續性的安全監控或全面性的系統評估。

然而，DJI 在對外溝通時，卻將這些有限的測試結果系統性地包裝為長期有效的安全保證，甚至暗示其足以回應國家安全層級的疑慮。

具體而言，這些審計報告存在以下幾項常見的限制：

儘管如此，DJI 在公關與政策遊說中卻將這些報告作為「產品安全無虞」的核心論據，引發業界與資安專家的質疑。

此一分析對台灣的無人機使用者、採購單位及政策制定者具有重要參考價值。在評估是否採用特定品牌的無人機時，不應僅依賴廠商自行提供的安全認證文件，而應：

隨著無人機在關鍵基礎設施巡檢、國防應用及政府機關中的使用日益普及，如何辨別安全認證的實質意義，已成為不可忽視的課題。

原文來源： 查看原文