叡揚資訊資安直屬事業處龍治廷經理於活動中分享因應 CRA 法規的 SSDLC 實務經驗,協助企業強化產品與供應鏈安全,因應 CRA合規打造產品安全競爭力。
隨著智慧化製造全面普及,產品中嵌入式系統與軟體功能比重持續攀升,安全性也成為國際供應鏈重新檢視的一項關鍵指標。近年包括歐盟在內的多國開始推動更嚴格的產品安全規範,其中「網路韌性法案」(Cyber Resilience Act, CRA)已於 2024 年正式生效,進一步將安全要求落實到產品的整體生命週期,促使各產業開始以更系統性的方式思考軟體安全與開發流程。
台北市電腦公會台灣資安主管聯盟日前舉辦「2025會員大會暨 CISO Day」,聚焦組織資安治理、供應鏈安全管理等重要議題。叡揚資訊資安直屬事業處經理龍治廷表示,面對 CRA 從設計即要求安全的核心精神,企業必須重新檢視 SSDLC 每一個階段的完整性與可證明性,包括供應鏈風險審查、原始碼檢測、開源元件分析、SBOM 管理等,以及上市後的弱點監控與事件通報機制。這些能力不僅是法規要求,更將成為未來產品出口歐洲市場的基本門檻。
叡揚資訊建議企業可從安全軟體開發生命週期 (SSDLC) 切入,以應對CRA法規要求。叡揚資訊所引進專注於 C 語言品質與安全的CodeSonar針對嵌入式與工控系統提供深度語意分析,可在開發前期即發現一般工具難以辨識的複雜弱點;專精 OpenSource 與 SBOM 管理的Mend.io 則透過 SCA、AI-BOM 與供應鏈安全機制,建立完整的開源與 AI 模型治理;而專注追求網路安全議題的Bitsight以外部攻擊視角提供持續監控、第三方風險管理與暗網情資,使企業能掌握自身與供應商的安全表現,補足 CRA 強調的供應鏈透明度要求。
叡揚資訊表示,客戶如今不僅要求產品要安全,也要求供應商能拿出清楚的技術證明,包括開發流程是否可重建、漏洞是否有足跡紀錄、元件是否可追溯以及補救時程是否可被驗證。唯有讓安全真正內建在 SSDLC
流程中,企業才能在法規壓力與產品競爭間取得平衡,打造更具韌性的產品安全體系。叡揚資訊將持續引進國內外領導品牌,並以顧問服務協助企業落地導入與應用,提升企業軟體開發韌性與供應鏈透明度,讓產品安全真正轉化為企業的營運韌性與市場競爭力。