迎戰歐盟CRA合規挑戰 叡揚資訊協助企業加速實務落地

文章來源:迎戰歐盟CRA合規挑戰 叡揚資訊協助企業加速實務落地-IThome

隨著智慧化製造全面普及，產品中嵌入式系統與軟體功能比重持續攀升，安全性也成為國際供應鏈重新檢視的一項關鍵指標。近年包括歐盟在內的多國開始推動更嚴格的產品安全規範，其中「網路韌性法案」（Cyber Resilience Act, CRA）已於2024年正式生效，進一步將安全要求落實到產品的整體生命週期，促使各產業開始以更系統性的方式思考軟體安全與開發流程。

台北市電腦公會台灣資安主管聯盟日前舉辦「2025會員大會暨CISO Day」，聚焦企業資安治理、供應鏈安全管理等重要議題。叡揚資訊於活動中分享，面對CRA從設計即要求安全的核心精神，企業必須重新檢視安全軟體開發生命週期（SSDLC）每一個階段的完整性與可證明性，包括供應鏈風險審查、原始碼檢測、開源元件分析、SBOM管理等，以及上市後的弱點監控與事件通報機制。這些能力不僅是法規要求，更將成為未來產品出口歐洲市場的基本門檻。

叡揚資訊資安直屬事業處經理龍治廷表示，CRA的本質不是多一份法遵文件，而是讓企業真正具備安全開發與安全維運的能力。若沒有在SSDLC前期就建立風險識別與弱點預防機制，企業將難以證明產品在上市前沒有已知可利用漏洞，也難以在後續維運中應對突發弱點或供應鏈事件。對企業而言，安全不是額外成本，而是產品品質的一部分。面對全球法規趨勢，企業越早開始強化流程，就越能掌握產品競爭優勢。

針對企業如何應對CRA要求，叡揚資訊建議從SSDLC切入，包含在規劃與設計階段進行威脅建模與供應鏈風險審查；在開發階段透過程式碼靜態分析與開源元件分析確保不存在已知可利用漏洞；於測試與打包階段產生正確且可追蹤的SBOM，並確保部署版本可重建與可驗證；而在上市後維運階段則需建立持續弱點監控與PSIRT應變流程，以確保產品在整個生命週期中維持安全性。叡揚資訊所引進專注於C語言品質與安全的CodeSonar針對嵌入式與工控系統提供深度語意分析，可在開發前期即發現一般工具難以辨識的複雜弱點；專精OpenSource與SBOM管理的Mend.io則透過SCA、AI-BOM與供應鏈安全機制，建立完整的開源與AI模型治理；而專注追求網路安全議題的Bitsight以外部攻擊視角提供持續監控、第三方風險管理與暗網情資，使企業能掌握自身與供應商的安全表現，補足CRA強調的供應鏈透明度要求。

叡揚資訊表示，客戶如今不僅要求產品要安全，也要求供應商能拿出清楚的技術證明，包括開發流程是否可重建、漏洞是否有足跡紀錄、元件是否可追溯以及補救時程是否可被驗證。這些要求不只來自法規，更來自市場邏輯的改變；當產品的軟體複雜度越來越高，供應鏈就必須以更透明、更可審核的方式管理風險。唯有讓安全真正內建在SSDLC流程中，企業才能在法規壓力與產品競爭間取得平衡，打造更具韌性的產品安全體系。叡揚資訊將持續引進國內外領導品牌，並以顧問服務協助企業落地導入與應用，提升企業軟體開發韌性與供應鏈透明度，讓產品安全真正轉化為企業的營運韌性與市場競爭力。