五倍券目前已經上路,但先前有眼尖的網友發現五倍券官網的原始碼出現簡體字,經濟部聲稱五倍券官網為關貿網路公司負責開發管理,未外包給中國公司。對此,台灣民眾黨立委高虹安今(11)表示,「從『未刪除簡體註解』這件事上也可以看得出來,一個個政府的官方網站,花用了幾千萬、甚至上億元的人民納稅錢所建置,卻還是有許多草率之處。」她更直言,政府「抄考卷連姓名一起抄進去」?
高虹安指出,「工程師開發系統時,程式碼交流確實是不分國界 ,這些程式碼的分享或開發經驗的交流,在台灣有『iT邦幫忙』、中國大陸有『CSDN討論區』,國外也有『GitHub』存放的空間、程式碼版本控制與開放原始碼之精神。業界在撰寫程式、開發系統時,參考其他網站或其他作者公開分享的開源程式碼,有點像是站在別人的肩膀上去開發新系統,這件事情本身對程式設計來說,確實是無傷大雅。」
高虹安話鋒一轉,表示從「未刪除簡體註解」這件事上也可以看得出來,「一個個政府的官方網站,花用了幾千萬、甚至上億元的人民納稅錢所建置,卻還是有許多草率之處,甚至可能構成隱性的安全漏洞?工程師或承包公司在對待政府官方網站外包時是否足夠用心?」
她認為,「工程師引用程式碼時如果有認真瀏覽過,站在客戶(政府機關)角度思考,畢竟是國家層級的網站系統,應該知道要移除掉這些簡體註解,才不會引發客戶後續疑慮。此事也令外界發現:很可能開發者會不會因為時間太趕,沒有認真檢視所引用程式碼之內容,才導致這些簡體字註解進到了台灣政府官方網站內。那,如果今天這些被引用的程式碼裡面,也夾帶了一些可能有資安疑慮的內容沒有被發現,那又該怎麼辦?政府單位驗收又為何沒有發現?」
另外,高虹安表示,「業界也有應用程式碼混淆器(Obfuscator)的技術,將程式原始碼之變數等價轉換或移除註解,使程式功能相同、可正確執行,這對於必需公開在網站客戶端(如:網頁內javascript)的程式碼,可以保護程式碼不容易被閱讀和理解,更可能進一步免於反編譯和逆向工程。」
「如果現在一般民眾,甚至有心人士,都可以隨時隨地上到政府官方網站把前端程式碼看透透,這也是另外一個潛在風險,有興趣的朋友也可以參考先前發生過的類似案例 (綁定五倍券 按「F12」驗證碼直接到手…PTT集體傻眼 https://news.ebc.net.tw/news/living/279665) 對於一個供全民使用的政府官方網站建置案來說,實在是有許多粗心與草率的地方!」
最後,高虹安呼籲政府,「經過這次事件,全民要的不應該只得到雲淡風輕的解釋『跟唐鳳無關、註解不會被執行到』,更希望我們的政府能夠見微知著、徹底檢討,未來應更加嚴謹管控和把關外包資訊系統專案品質!」
五倍券官網原始碼出現簡體字,經濟部已澄清並未外包給中國公司。 圖: 翻攝自高虹安臉書
高虹安臉書貼文。 圖 : 翻攝自高虹安臉書
高虹安臉書貼文。 圖 : 翻攝自高虹安臉書
