隨著智慧化製造全面普及,產品中嵌入式系統與軟體功能比重持續攀升,安全性也成為國際供應鏈重新檢視的一項關鍵指標。近年包括歐盟在內的多國開始推動更嚴格的產品安全規範,其中「網路韌性法案」(Cyber Resilience Act, CRA)已於 2024 年正式生效,進一步將安全要求落實到產品的整體生命週期,促使各產業開始以更系統性的方式思考軟體安全與開發流程。
台北市電腦公會台灣資安主管聯盟日前舉辦「2025會員大會暨 CISO Day」,聚焦企業資安治理、供應鏈安全管理等重要議題。叡揚資訊於活動中分享,面對 CRA 從設計即要求安全的核心精神,企業必須重新檢視安全軟體開發生命週期 (SSDLC) 每一個階段的完整性與可證明性,包括供應鏈風險審查、原始碼檢測、開源元件分析、SBOM 管理等,以及上市後的弱點監控與事件通報機制。這些能力不僅是法規要求,更將成為未來產品出口歐洲市場的基本門檻。
叡揚資訊資安直屬事業處經理龍治廷表示,CRA 的本質不是多一份法遵文件,而是讓企業真正具備安全開發與安全維運的能力。若沒有在 SSDLC 前期就建立風險識別與弱點預防機制,企業將難以證明產品在上市前沒有已知可利用漏洞,也難以在後續維運中應對突發弱點或供應鏈事件。對企業而言,安全不是額外成本,而是產品品質的一部分。面對全球法規趨勢,企業越早開始強化流程,就越能掌握產品競爭優勢。
針對企業如何應對CRA要求,叡揚資訊建議從SSDLC切入,包含在規劃與設計階段進行威脅建模與供應鏈風險審查;在開發階段透過程式碼靜態分析與開源元件分析確保不存在已知可利用漏洞;於測試與打包階段產生正確且可追蹤的 SBOM,並確保部署版本可重建與可驗證;而在上市後維運階段則需建立持續弱點監控與 PSIRT 應變流程,以確保產品在整個生命週期中維持安全性。叡揚資訊所引進專注於 C 語言品質與安全的CodeSonar針對嵌入式與工控系統提供深度語意分析,可在開發前期即發現一般工具難以辨識的複雜弱點;專精 OpenSource 與 SBOM 管理的Mend.io 則透過 SCA、AI-BOM 與供應鏈安全機制,建立完整的開源與 AI 模型治理;而專注追求網路安全議題的Bitsight以外部攻擊視角提供持續監控、第三方風險管理與暗網情資,使企業能掌握自身與供應商的安全表現,補足 CRA 強調的供應鏈透明度要求。
叡揚資訊表示,客戶如今不僅要求產品要安全,也要求供應商能拿出清楚的技術證明,包括開發流程是否可重建、漏洞是否有足跡紀錄、元件是否可追溯以及補救時程是否可被驗證。這些要求不只來自法規,更來自市場邏輯的改變;當產品的軟體複雜度越來越高,供應鏈就必須以更透明、更可審核的方式管理風險。唯有讓安全真正內建在 SSDLC 流程中,企業才能在法規壓力與產品競爭間取得平衡,打造更具韌性的產品安全體系。叡揚資訊將持續引進國內外領導品牌,並以顧問服務協助企業落地導入與應用,提升企業軟體開發韌性與供應鏈透明度,讓產品安全真正轉化為企業的營運韌性與市場競爭力。
叡揚 資訊安全服務(https://www.gss.com.tw/sca)
叡揚資訊安全服務,致力為各大企業及組織提供 DevOps應用程式安全解決方案、顧問及整合服務,以改善資訊安全、提高企業效能為使命,全方位引進國際前瞻領導性知名品牌,目標打造提供台灣企業良好的資安平台,優質服務累積廣大的客戶群,包含醫療業、政府國營事業、金融業、壽險業、電信業、交通運輸業、製造業、高科技業等等。服務範圍 : 包括源碼檢測服務、開源碼檢測及管理、APP黑箱安全檢測、Mobile & APP自動化連續測試平台、行動應用安全保護、工具使用建置及導入建議、SSDLC 整合、軟體Coding 安全課程、Java解決方案等,未來也將持續引進國際頂尖資安資訊及技術,協助客戶有效提升應用系統安全強度,建立堅強資安防線。期許透過卓越的軟體與服務,帶領客戶透過IT創新提升企業產能及核心競爭力。
叡揚資訊(www.gss.com.tw)
成立於 1987 年,是台灣資訊軟體業的領導廠商,於應用系統開發已有 30 餘年經驗,亦是區域級資訊軟體與雲端SaaS服務供應商。30 多年來專注於軟體技術及應用服務,提供企業e化應用軟體、資訊治理及資訊安全、運帷服務,以及雲端與巨量資料服務等四大產品線,加乘先進的協同作業、行動化、雲端、AI、機器學習、ChatBot、大數據等前瞻技術,持續創造產品與優化服務,深獲金融業、政府、醫院、電信與製造業等 2,000 家海內外客戶及 40,000 名以上雲端使用客戶的肯定。
熱門新聞
2026-01-09
2026-01-09
2026-01-10
2026-01-09
2026-01-10