即使企業已將Secure-by-Design與Secure-by-Default融入產品開發流程,一個殘酷的現實仍然存在:漏洞無法完全避免。當產品推向市場後,真正的考驗才剛開始。研究人員發現漏洞時,企業準備好接收通報了嗎?漏洞被揭露後,企業能否快速回應並修補?這些問題的答案,往往決定了產品安全能否從「製造商的承諾」轉化為「用戶可以信賴的現實」。
在2025台灣資安通報應變年會中,國家資通安全研究院舉辦的「產品資安高峰座談會」,以「
產品資安即品牌信任:從設計、製造到通報的實戰對話」為主題,邀請合勤投資控股資安長游政卿、台達電子產品資安處處長田維誠、群暉科技安全事件應變組經理林涵恩,以及台灣松下電器網路安全實驗室負責人陳谷傑,由副院長龔化中主持,分享產品資安通報與應變的實戰經驗。
從選項到必答題:無法迴避的法規壓力
國家資通安全研究院游家雯總監分享的數據令人震撼:全球漏洞量在十年間成長六倍,達41,426件。這不僅反映數量增長,更凸顯產品複雜度的質變。現代產品越來越依賴第三方套件與開源元件,導致上游一個漏洞可能同時影響數十個下游產品。
更關鍵的轉變來自法規面。李婉萍經理指出,漏洞通報機制正經歷典範轉移:從1995年Bug Bounty的市場驅動模式,到1999年CVE的社群協作體系,再到歐盟CRA的政府強制規範。這個演變軌跡清楚顯示,漏洞通報已從「企業可選擇的公關策略」,轉變為「法規要求的強制義務」。
歐盟CRA(Cyber Resilience Act,網路韌性法)要求尤其嚴格:製造商必須在發現被利用的漏洞後24小時內提出早期預警,72小時內提交正式報告。對台灣這個資通訊出口大國而言,這不是「要不要做」的問題,而是「怎麼做、何時開始」的挑戰。
龔化中副院長開場即點出核心命題:「資安已是產品生命週期中不可分割的責任鏈。」與談人一致回應,當前最迫切的挑戰是歐盟法規已真實出現在客戶採購需求書(RFP)中。游政卿強調:「歐元區的法規嚴格程度遠超美國標準,涵蓋從設計、製造到維護的完整生命週期,且正逐步向供應鏈下游延伸。提早準備,已不是選項,而是企業生存的必要策略。」
先行者的實戰經驗
合勤十年投資:從滅火到預防
合勤投資控股2012年成立緊急應變小組,採取被動策略。直到2016年德國電信大規模攻擊事件成為轉捩點,游政卿深刻體認:「網通設備是全世界風險最高的產業。你的設備就擺在網路上,如果沒做好,最大的客戶不是消費者,是駭客。」
這促使合勤在2019年主動成立資安處,2021年成為CNA(CVE編號授權機構),2024年更升級為CNA Provider最高等級。五年內處理300個漏洞的經驗,讓合勤建立「白帽駭客名人堂」,與資安社群建立良好關係。游政卿的核心理念簡單卻深刻:「信任不等於完美,信任等於資訊透明加上快速回應。」
群暉Bug Bounty:在成本與效益間找平衡
群暉科技林涵恩分享運營漏洞獎金計畫(Bug Bounty)的實務挑戰。他坦言,導入這項機制最困難的不是技術,而是獲得高層支持。關鍵挑戰包括:使用CVSS 3.0標準評估漏洞嚴重性時如何達成內部共識?獎金設定如何平衡吸引力與投資報酬率?
群暉最高獎金設定為3萬美金,但林涵恩強調,關鍵不在金額高低,而是「發得有價值」。範圍(scope)設定同樣微妙,太小缺乏吸引力,太大則會收到大量低價值漏洞。「企業必須持續調控,才能聚焦在關鍵目標上。這不是一次性的設定,而是需要根據實際運作狀況不斷優化的動態過程。」
台達電子:從設計端建立SBOM防線
台達電子田維誠處長將焦點拉回更前端:「產品資安不能只靠事後補救,必須從設計階段就建立防線。」台達電是台灣首批導入IEC產品資安標準的企業,特別重視SBOM:「就像食品成分標示,讓客戶清楚知道產品使用了哪些軟體元件,是否存在已知漏洞。」
當Log4j這類影響全球的漏洞爆發時,擁有完整SBOM的企業可以在第一時間完成影響評估。田處長強調:「客戶要的不是沒有漏洞的產品,那不可能。客戶要的是當漏洞發生時,你能多快告訴他們『我們掌握了』。」
台灣松下:出廠防護的實戰驗證
台灣松下電器陳谷傑分享產品測試與驗證的重要性。透過網路安全實驗室,在產品出貨前進行實戰攻防測試,將IoT威脅情報轉化為設計修正建議。「通報機制固然重要,但如果能在出廠前就發現並修補大部分漏洞,就能大幅降低後續通報的壓力。」
這種「出廠防護」機制的價值在於預防。在出廠前發現問題,修補成本最低,對客戶的影響也最小。陳谷傑強調:「從設計、測試到通報,必須是一個完整的防線,而不是單點防禦。」
中小企業的可行路徑
面對龐大的資安體系建設,中小企業往往感到無力。與談人一致強調:產品資安不是軍備競賽,而是體質調整。資源有限的企業可以從以下方向著手:
第一,善用免費資源與社群。
加入OWASP、CISO聯盟的Partner Security Initiative等組織,獲取免費的知識與經驗分享。游政卿特別提到,Google支持的資安社群提供了豐富資源。「你不需要重新發明輪子,很多基礎的流程、範本、最佳實踐,社群都已經整理好了。」
第二,運用AI降低成本。
威脅分析、漏洞回應等工作,透過AI工具可以大幅降低人力成本。林涵恩補充,AI不能取代人的判斷,但可以處理大量重複性工作,讓有限的人力聚焦在真正需要專業判斷的環節。
第三,建立基礎通報機制。
從最基本做起,在TWCERT登記產品資安聯絡資訊。龔化中副院長透露,明年TWCERT將協助建立全國性的產品資安聯絡平台,讓研究人員發現問題時能快速找到正確窗口。
第四,先識別風險,再決定對策。
林涵恩強調,風險管理的核心是「讓風險可被看見、可被控制」。企業不需要一開始就投入重金建置完整的PSIRT(產品安全事件應變)團隊,而是先了解自己產品的風險在哪裡,再根據資源決定控制策略。
游家雯總監的研究顯示,企業最需要的支援是流程工具(74%,特別是SOP範本60%)、人力資源(54%)和對外溝通(56%)。核心痛點是「缺流程、缺人力、缺依據」。建議採取階段式補強策略:以共用範本與作業指引快速補流程缺口、以兼任與跨部門合作替代專責團隊、透過訓練與法規指引補足依據不足。
企業PSIRT成熟度可分為三階段:萌芽階段有VDP(Vulnerability Disclosure Policy,漏洞揭露政策)但無SOP、形成階段建立跨部門合作流程、成熟階段正式組織化運作。「不要期待一步到位,先從建立安全通報管道著手,逐步形成內部協作機制,最終完善PSIRT組織化運作。」
接力賽的三個棒次
龔化中副院長在總結時,用一個生動的比喻串起整場座談:「產品資安責任鏈如同接力賽,需要三個棒次緊密配合。」
第一棒:設計決定起跑線。
透過Secure-by-Design與Secure-by-Default建立產品的內在防禦體質,透過SBOM掌握供應鏈風險。正如資策會李彥震主任所在年會中分享的,安全必須是產品與生俱來的核心體質,而非開發完成後才補強的附加功能。從需求定義、架構設計、程式撰寫到部署維運,每一個階段都要將安全考量融入其中;同時確保產品在「開箱即用」時就已處於最安全的模式,讓安全措施是強制執行、無需額外費用、無需用戶手動操作。這是整個責任鏈的基礎。
第二棒:透過測試發現問題。
透過網路安全實驗室的出廠防護、Bug Bounty計畫的外部檢驗,在產品推向市場前儘可能發現並修補漏洞。這是台達、松下、群暉等企業正在實踐的防線。
第三棒:通報維護是經驗回饋。
當漏洞無法避免地出現時,透過PSIRT建立快速通報、協調修補、資訊公告的機制,將危機轉化為建立信任的機會。
游政卿認為,「中小企業在這波浪潮裡,我們做的不是軍備競賽,因為打不起。我們做的是體質調整。但我要告訴各位,產品資安絕對不可能像AI一樣退燒,這是不可逆的趨勢。如果你想在資通訊產品領域立足,想進入全球最嚴格的市場,現在就要開始準備。」
他的話既是提醒,也是鼓勵:「讓大家不孤單,因為我們這些先行者都還在,而且都還活著。記得參與社群,我們一起前進。」
對台灣產業而言,這不僅是合規要求,更是在國際市場建立差異化優勢的關鍵時刻。當歐美法規將產品資安設為市場門檻,率先完成體質調整的企業,將在全球供應鏈中佔據更有利的位置。這場轉型或許充滿挑戰,但只要方向正確、步伐務實,中小企業也能在這場變革中找到屬於自己的路徑。
首圖圖說:(左起)國家資通安全研究院 龔化中 副院長、合勤投資控股股份有限公司 董事長室 游政卿 資安長、台達電子工業股份有限公司 產品資安處 田維誠 處長、台灣松下電器股份有限公司 網路安全實驗室 陳谷傑 負責人、群暉科技股份有限公司 安全事件應變組 林涵恩 經理
延伸閱讀:【實錄】800萬漏洞挖掘計畫啟動、專家疾呼「學會與威脅共存」:TWCERT/CC年會揭台灣資安轉型戰略