【產品資安實務經驗：合勤科技】不能只當漏洞救火隊，更要落實「設計即安全」

在產品資安推動上，身為臺灣知名網通設備業者的合勤科技可說經驗豐富，關鍵轉捩點是2016年的一場危機：當時他們有一家歐洲電信客戶遭受Mirai殭屍網路攻擊，導致大規模路由器癱瘓，當中包括合勤產品，這也使得產品漏洞問題演變為信任危機。

近年合勤多次公開這方面推動經驗，這次我們更深入介紹實務作法與最新進展。例如，合勤去年10月簽署美國網路安全暨基礎設施安全局（CISA）推動的「設計即安全（Secure by Design）」承諾，目前響應這項號召的臺灣廠商屈指可數；此外他們提到近3年KEV（已知漏洞遭利用）的數量已逐年下降。

從資安事件驅動，轉向主動因應與安全設計為核心

談到產品資安推動，合勤投控資安長游政卿感觸很深，希望臺灣產業少走一點冤枉路，他們起初面對漏洞只是扮演「救火隊」，若能更早知道從建立消防署、訂好消防規章做起，成效會更好。

合勤從危機到競爭力的十年轉型，可畫分為四個重要階段：

● 第一階段：2016年。當時合勤面對漏洞事件時，公司成立Security Task Force因應，之後每月也固定檢討資安議題。但游政卿坦言，事後回頭檢視，會發現很多事件背後其實是同樣的根本問題，這也讓他們意識到，必須建立更成熟的應對機制，於是在2019年起成立 CSIRT後，也著手籌組PSIRT。

● 第二階段：2021年。公司正式成立「資訊暨產品安全管理處」，建立完整架構以負責CSIRT與PSIRT事務，這是一項重要突破，此後發展越來越成熟，現在不僅是跨單位、跨BU的組成，每個事業單位都必須派代表加入，一旦有事件發生，全集團都能同步掌握。

游政卿笑說，PSIRT起步時，聚焦漏洞事件最多的防火牆與路由器團隊，不過，當他們從小範圍做出成效之後，得到一個好處：容易擴大至其他產品線，甚至吸引集團內關係企業陸續加入，如今每次PSIRT會議動輒40至50人參與，代表真的投入，而不是被要求才來。同年合勤也取得MITRE CNA資格，象徵能主動揭露並負責任地處理漏洞。

● 第三階段：2024年。合勤獲得CNA Provider等級，代表合勤的漏洞風險評分與CISA評估結果相近，進一步印證內部對於漏洞風險判斷的能力。

特別一提的是，我們兩年多前報導安全開發漸成國際焦點，例如美國CISA發布多則Secure by Design警報與資源，呼籲各界正視此議題。對此，游政卿提到CISA也推動「Secure by Design Pledge」計畫，而且合勤已在2024年10月簽署該承諾，宣示將其全面納入開發規範。

這項承諾在國內很罕見。目前全球約有340家企業響應，臺灣僅3家簽署，包括：合勤科技、群暉科技、趨勢科技。

● 第四階段：2025年。今年10月，合勤PSIRT加入FIRST國際資安事件應變組織。游政卿說明，與國際接軌才不會坐井觀天，而他們選擇以PSIRT加入的原因，主要考量是合勤產品出貨全球，需掌握國際產品資安情報，CSIRT情資則聚焦國家級駭客威脅，多是與國內調查局、資安院與刑事警察局等單位來合作，因此是以PSIRT身分加入。

合勤CVE漏洞正持續減少，強化產品資安成效浮現

對於這產品資安推動成效，游政卿指出，他們已有持續統計相關數據，因為這也是他們會向董事會報告的內容。

目前已取得重要成果？首先，合勤收到事件通報後的反應時間，從過去5天縮短至3天。他強調，等待3天與等待5天的感受不同，研究人員會覺得合勤回應的態度是積極的。

其次，在CVE漏洞方面，近年合勤修補的數量正逐漸減少。雖然CVE數量在2023年攀至高峰，但去年修補CVE漏洞降至37個，今年截至11月為止僅10個，當中的高風險漏洞也從22個降至7個。

最後，合勤產品被列入KEV漏洞名單（Known Exploited Vulnerabilities Catalog）的數量也減少，從2023年4個、2024年3個，今年2025年截至11月為0個。

游政卿強調，雖然這些項目的表現屬於落後指標，呈現的是產品上市後的漏洞問題，以及攻擊者針對漏洞的利用，但也顯現持續修補與強化安全設計的成效。此外，要減少已知漏洞被利用需用戶配合，合勤會藉由經銷商通路主動聯繫企業，以促進企業客戶的修補。

他另提到，正式的董事會報告是一年一次，重點放在整體的治理成效跟風險態勢。不過實際上，每週都會直接跟董事長報告，讓他隨時掌握狀況，確保溝通沒有落差。

闡釋產品資安架構5大環節，並讓寫程式的人具備資安能力

對於合勤的產品資安發展之路，特別是2021年成立資訊暨產品安全管理處後，游政卿大方揭露他們的實務經驗，我們歸納為下列兩大面向：

（一）在產品資安架構方面，合勤將其畫分為5大環節，包括：SSDLC、程式碼檢測、實機滲透、架構檢討、漏洞獎勵計畫（Bug Bounty）。

游政卿解釋，近年合勤收到全球很多研究人員的通報，至少來自28個國家。因此公司也特別透過名人榜來感謝這些研究人員，因為有了他們的回饋，也促進產品安全開發的進步。

回顧過去合勤自身的安全開發流程，多半偏向遵循教科書形式的作法，而從PSIRT持續收到的外部漏洞與攻擊回饋之後，促使合勤內部重新檢視問題，像是原先開發團隊特別重視核心模組防護，但攻擊者真正瞄準的部分往往是各式介面層，包括CGI處理程序、Web UI、管理介面等。這也促使合勤擴大SSDLC的適用範圍，並在程式碼檢測階段強化靜態與動態分析。

實機滲透更是重點中的重點。具體而言，合勤在此階段有3大重要防線，包括：合勤集團本身的黑貓資訊會執行產品滲透測試，透過法規認證機構驗證產品合規，像是通過德國BSI TR-03148，以及歐盟RED EN 18031，最後，則是更關鍵的「非公開邀請制Bug Bounty」，直接將設備給長期合作、具高度專業的研究人員，進行黑箱測試與韌體檢測，而此方式被視為最有效的策略之一。在上述策略的執行之下，幫助他們持續檢討架構，改善產品資安。此外，今年他們也支持資安院的漏洞獎勵計畫，做為產品資安強化的補充。

（二）在產品資安驅動策略上，合勤由技術長與資安主管主導，PSIRT負責跨部門協調，重點是引導業務單位，在效能、成本、時程與資安間取得平衡。

合勤也邀請學界老師針對開發人員授課，像是前兩年，他們開始教導學員，如何從駭客角度看待不安全的程式碼，今年則把重心放在AI輔助下的漏洞偵測，讓開發人員懂得善用AI增加效率。

游政卿坦言，開發與資安本就存在拉扯。如果資安團隊只是不斷指出「哪些沒做好」，難免造成反感，因此，開發團隊聚焦每年提升一定比例的產品安全品質，可讓兩者之間的平衡越來越好。

讓寫程式的人具備產品安全能力，讓弱點越早被解決，就能降低後期的處理成本。他另以防災形容：「火災一定會發生，但我們要避免那些本可避免的火災。不要永遠只當救火隊，房子從設計圖開始就要有安全規範。」

合勤投控資安長游政卿指出，產品安全需要從首行程式碼到產品退役的全生命週期管理，形成一個可持續精進的產品資安完整閉環（如圖）。他強調，合勤的目標是建立一套能快速應對突發事件、日常無聲防禦的流程，將資安韌性深植於健全的機制中，而非依賴個人。圖片來源／合勤

將AI視為重要輔助強化工具

對於軟體供應鏈安全與AI強化安全能力的看法，游政卿也說明合勤的發展。

以產品的程式碼而言，合勤坦言約有50%是公司人員撰寫的，50%採用開源的軟體程式碼，SBOM對他們的重要性不言而喻。不過，除了導入SBOM，他強調，還可以透過VEX（Vulnerability Exploitability eXchange）告知客戶，使其了解該漏洞對這個產品是否真正可被利用。例如，某些 SBOM列出的元件雖然存在已知漏洞，但產品實際並未啟用相關功能，或已採取額外防護，因此不會受到影響，以提升客戶理解風險的透明度。

對於AI強化安全能力的看法，游政卿也說明合勤的發展。游政卿表示，合勤採取務實態度，定位為強化工具，而非取代人類決策，這方面還需要建立完善的流程與控管機制，才能確保AI的使用能加速安全防護，而非加速錯誤發生。

例如，他們為了資安主控權的考量，用Open WebUI架構搭起內部入口，後端再去串接AWS跟Azure的企業級模型API，確保資料流都在可控環境。如此也能分析員工的Prompt，找出最能有效運用AI的人，進而在工作坊分享經驗。

此外，以PSIRT應用而言，AI可協助快速整理大量漏洞資訊，也能協助草擬資安聲明再由專人審閱；以研發團隊應用而言，AI可用於輔助程式碼檢視，減少工程師辨識問題的時間，未來目標更希望發展至決策輔助層級。