從開源碼檢測到供應鏈評級，叡揚全方位落實資安治理

文章來源：從開源碼檢測到供應鏈評級，叡揚全方位落實資安治理－CIO Taiwan

企業資安趨勢論壇會後報導

在惡意威脅無孔不入下，資安治理已成為企業營運韌性的核心指標。叡揚資訊在代理 Mend.io、BitSight 等產品之外，也開設叡揚資安培訓 Your Security Coach 課程，助企業提升員工的安全意識，全力阻斷威脅入侵。

隨著資安威脅日益複雜且破壞力升高，資安治理不再僅僅是技術部門的課題，而是企業營運韌性的核心指標。

根據 Mend.io 公布研究報告指出，開源程式碼安全、開源元件相依性、已知漏洞的利用等，依然是主要持續演進威脅。而隨著生成式 AI 浪潮席捲全球下，「未受治理的模型使用」、「惡意模型或後門模型」、「情境洩漏與注入」等，則被認為是「新興風險」。尤其現代軟體系統往往包含大量開源元件與第三方委外廠商提供模組，也成為資安治理的重大漏洞。

叡揚資訊資安直屬事業處副處長郭俐佳說，為協助企業落實資安治理，我們代理的 Mend.io 是一款功能強大、易於使用的軟體組成分析平台，是專為企業管理開源軟體的安全性和合規性而設計。

這套軟體可自動掃描應用程式中的開源套件，快速識別安全漏洞和合規性風險，並提供修復建議。此外，Mend.io 還能生成軟體物料清單（SBOM），在提供持續監控和更新之餘，並降低成本與合規性風險。

善用安全評級系統，掌握供應商安全狀況

儘管許多企業都開始針對供應商進行資安評估，但僅仰賴一年一度的問卷調查，根本無法反映即時的風險狀態。

叡揚資訊建議企業應轉向「數據驅動」的管理模式，如引進 BitSight 等企業安全評級系統，可即時掃描供應商暴露在外的攻擊面（Attack Surface），並給予量化的評分。當發生供應商分數持續下降或出現新漏洞時，企業可即時收到預警訊息並在第一時間採取相對應做法，避免遭到駭客的供應鏈攻擊手法入侵。

郭俐佳指出，在實務治理中，「員工」往往是軟體韌性中最重要也最脆弱一環，企業不應僅依賴工具，更需提升開發人員與員工的資安意識。

我們推出的叡揚資安培訓 Your Security Coach 課程，主打透過「Secure Code Warrior」互動式自主學習平台、「資安學程」、「資安小文章」等之間搭配，對開發人員、一般員工等建立相對應的安全意識，避免因誤用 AI 助手而引入新的風險。面對資安威脅持續增溫，企業唯有將資安納入治理中樞，才能在享受技術紅利的同時，確保在動盪的數位環境中維持營運韌性。