RSAC 國際資安會議分享會 會後報導
叡揚資訊指出,未來產品必須在開發初期便納入「預設安全」與「設計安全」思維。透過整合Mend.io 與 CodeSonar 等尖端工具落實自動化漏洞修補,並結合 Bitsight 將資安風險量化為財務損害預測,企業方能在 AI 時代構築兼具技術深度與決策高度的資安韌性。
文/彥琳
隨著 2026 RSAC 國際資安會議傳遞的趨勢顯示,產品安全已成為全球市場的技術壁壘。叡揚資訊資安直屬事業處副處長郭俐佳指出,歐盟 CRA《網路韌性法案》要求產品必須落實「預設安全(Secure by Default)」與「設計安全(Secure by Design)」,這也代表資安不再只是事後補救,而是必須回到軟體開發生命週期(SDLC)源頭進行治理,並透過「設計(Design)、盤點(Discover)、防護(Defense)」三大面向整合,從開發初期即建立具備本質安全的產品韌性架構。
在設計與盤點層面,隨著 AI 輔助開發與開源元件大量導入,企業面臨產品組成與風險來源日益複雜的挑戰。郭俐佳介紹以 AI 為核心的 Mend.io AppSec 檢測平台,協助企業在現代開發環境中落實產品組成盤點。該平台整合 SCA 與 SBOM 自動化生成功能,能精準標示原始碼、第三方及 AI 元件的漏洞,並提供修復建議與自動發送合併請求(Merge Request),大幅優化開發者的修補效率。
另外,針對 IoT 設備常涉及的基礎設施與關鍵功能,郭俐佳特別介紹在 C 語言安全領域深耕逾 30 年的檢測利器 CodeSonar,其強項在於能深入剖析嵌入式系統中的深層安全風險。透過視覺化的系統呼叫關聯圖,不僅幫助開發者精準掌握模組間的交互關係,並有效避免「改了 A 卻壞了 B」的連鎖風險。
企業除了強化自身產品安全外,建構完善的供應鏈風險管理亦是當務之急。叡揚資訊資安顧問許農育援引金管會「金融資安韌性發展藍圖」,強調強化供應鏈資安生態系的重要性。為此,他介紹全球領先的資安評級平台 Bitsight,該平台目前監控全球超過 4,000 萬個組織的情資,並獲 Google 與 Microsoft 等科技巨頭青睞,將其情資納入自身的威脅防禦體系中。不僅提供安全評分與產業對標,更透過 AI 分析外部曝險、暗網情資與供應鏈風險,將技術風險量化為預估財務損失,協助企業在銀行融資、董事會治理、ESG 揭露與資安保險評估時,以更具國際共通性的方式溝通風險,並更精準配置資安資源,提升整體企業韌性。
面對全球法規與供應鏈要求持續升高,企業資安策略正從「系統防護」走向「產品韌性治理」。叡揚資訊將持續結合國際領先資安技術與在地服務能量,協助企業從開發到供應鏈建立完整的安全治理機制,提升產品韌性與國際競爭力。
The post 叡揚資訊落實 SSDLC 打造產品預設安全 DNA first appeared on CIO Taiwan.