| 歐盟 | 網路韌性法 | 漏洞風險 | 法規遵循 | 產品資安 | Secure by Design | 產品漏洞 | 產品安全 | MITRE CNA | PSIRT | FIRST | 漏洞修補 | 資安漏洞 | SSDLC | SBOM | 漏洞獎勵計畫 | Secure by Default

【當資安已成產品「內建」基本要求】漏洞風險與法規遵循壓力與日俱增,臺廠做好產品資安刻不容緩

產品資安的發展成為全球科技產業關注焦點,許多原本只被視為最佳實務的資安作法,現已提升為法規強制要求,尤其是2024年12月歐盟網路韌性法(CRA)正式生效,將於2027年全面上路

2025-12-12

| 漏洞風險 | 產品資安 | 產品安全 | ZDI | 產品漏洞 | 資安漏洞 | 趨勢科技 | CVE漏洞 | 漏洞獎勵計畫 | AI資安

【解讀全球資安漏洞數量暴增的現象】2025年CVE數量創新高,突顯風險意識抬頭

2025年CVE漏洞數量再創新高,全年逼近5萬個,超越2024年增加總數(40,303個)。ZDI計畫負責人Brian Gorenc指出,CVE數量增加不代表風險升高,反而象徵更多錯誤攤在陽光下,多數也會進入修補流程,這比漏洞長期存在卻沒被發現要安全

2025-12-12

| 合勤 | 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | Secure by Design | 產品漏洞 | CSIRT | PSIRT | SSDLC | FIRST | 漏洞獎勵計畫

【產品資安實務經驗:合勤科技】不能只當漏洞救火隊,更要落實「設計即安全」

全球知名的網通設備大廠合勤科技(Zyxel),十年前曾面對一場產品資安重大危機,如今已將這項改善工程的推動從成本轉化為競爭力,去年底更簽署美國CISA推動的Secure by Design承諾,跟上國際產品安全發展潮流

2025-12-12

| 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | 威聯通科技 | QNAP | MITRE CNA | FIRST | SSDLC | 漏洞獎勵計畫

【產品資安實務經驗:威聯通】主動公開與修補CVE弱點,再以漏洞懸賞與安全設計鞏固防線

主打專業NAS儲存設備的威聯通科技(QNAP),多年前加入MITRE CNA計畫與FIRST組織,重視研究人員通報與事件應變強化,近年更積極推動漏洞懸賞計畫,並聚焦安全開發的升級

2025-12-12

| 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | 四零四科技 | IEC62443 | 產品資安中心 | PSIRT | SSDLC | 漏洞獎勵計畫

【產品資安實務經驗:四零四科技】從依循IEC 62443到成立PSC,產品資安強化成為公司的長期工程

專注於工業自動化與通訊設備的四零四科技(Moxa),早年投入研究IEC 62443標準的安全性要求,到了3年前更進一步成立產品資安中心(PSC),以更完善的方式逐步推動落實與精進

2025-12-12

| 漏洞風險 | 法規遵循 | 產品資安 | oT | Secure by Design | 產品漏洞 | MITRE CNA | FIRST | 產品資安中心 | PSC | 資安漏洞

消除產品資安盲點,減少可乘之機

一般人都會認為,CVE漏洞數量越多,代表越不安全,全球最大漏洞懸賞計畫ZDI計畫負責人則有不同看法

2025-12-12

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體攻擊 | 產品資安

【資安週報】1117~1121,電信業提供「小烏龜」已屆EoL,卻未主動幫用戶更換,邊緣裝置產品資安風險成焦點

在2025年11月第三星期資安新聞中,邊緣裝置的產品安全成為焦點,最受矚目是臺灣資安研究人員揭露「小烏龜」漏洞引發的安全疑慮,還有兩起攻擊活動的揭露,包括中國駭客鎖定華碩路由器攻擊以架設ORB網路匿蹤,以及中國駭客PlushDaemon入侵路由器竄改DNS的攻擊行動

2025-11-24

| HITCON | AI資安漏洞 | AIxCC | AI Cyber Challenge | AI網路挑戰賽 | 產品資安 | 產品安全 | 開源軟體安全 | AI資安 | 自動化漏洞修補

發展AI自動發現與修補漏洞有成,Shellphish在臺揭露實戰經驗

今年台灣駭客年會HITCON 2025聚集多組AIxCC競賽團隊分享研發成果,深入探討以AI自動發現與修補漏洞的最新實踐,其中獲得第五名的Shellphish團隊也現身說法,他們指出,要找到「正確」的修補方案絕非易事,並強調在進行修補前,必須先釐清並歸類錯誤發生的根本原因。

2025-10-28

| HITCON | AIxCC | AI Cyber Challenge | AI資安漏洞 | AI網路挑戰賽 | 產品資安 | 產品安全 | 開源軟體安全 | AI資安 | 自動化漏洞修補

從10年前CGC到AIxCC挑戰賽,Theori在臺揭露發展自動化防禦的旅程與經驗

今年台灣駭客年會HITCON 2025活動現場,AIxCC競賽季軍隊伍Theori共同領隊在臺暢談參賽經驗,當中特別闡釋從10年前CGC挑戰賽,到現在AIxCC挑戰賽的技術轉變,並揭示LLM的進化足以改變我們應對漏洞的方式

2025-10-28

| HITCON | AIxCC | AI Cyber Challenge | AI資安漏洞 | AI網路挑戰賽 | 產品資安 | 產品安全 | 開源軟體安全 | AI資安 | 自動化漏洞修補

AIxCC冠軍隊現身HITCON 2025,闡釋運用LLM自動發現修補漏洞的開發歷程

今年台灣駭客年會HITCON 2025的重頭戲,是AIxCC冠軍隊伍Team Atlanta成員首度在臺公開他們的寶貴經驗。包括2023年競賽初期,他們也曾懷疑是否真能運用LLM來自動發現漏洞與修補,以及後續團隊是如何設計其系統架構並分工合作

2025-10-28

| HITCON | AI資安漏洞 | AIxCC | 美國DARPA | AI Cyber Challenge | AI網路挑戰賽 | 產品資安 | 產品安全 | 開源軟體安全 | AI資安 | 自動化漏洞修補

AIxCC競賽隊伍現身HITCON 2025,解析用AI發現修補漏洞的經驗

對於如何發展用AI處理漏洞的方法或解決方案,今年8月舉行的台灣駭客年會HITCON 2025請到多位該領域專家發表演說,當中包含來自美國DARPA AIxCC競賽冠軍隊伍Team Atlanta成員,以及第三名Theori、第五名Shellphish的領導人,臺灣資安社群得以了解這項結合AI與自動化防禦的挑戰競技

2025-10-28

| 零時差漏洞 | 開源軟體安全 | AI資安漏洞 | AIxCC | 美國DARPA | AI Cyber Challenge | AI網路挑戰賽 | 產品資安 | 產品安全 | AI資安 | 自動化漏洞修補

【AI資安新焦點:自動發現漏洞取得實質進展】發展用AI處理漏洞的解決方案,美政府舉辦AIxCC競賽秀實力

如何藉助AI加快漏洞檢測與修補,是當今重要研究課題,最近已有實質進展,尤其是美國DARPA舉辦的AI Cyber Challenge(AIxCC),決賽結果8月公布,識別漏洞率從去年的37%提升至今年的77%,並額外找出18個C程式語言與Java程式語言的零時差漏洞

2025-10-17