本次講題將探討產品上線前、測試前的準備以及測試完成後的實務經驗和做法。

首先，將分享我們如何決定上線前資安檢測對產品的必要性，包括內部自主檢測的重要性。

其次，在過程中也會討論，樂天集團在測試資訊要求和細節度上與其他企業有何不同之處。講者將分享在加入樂天集團時，自己對日本風格資安檢測的初次印象，以及與台灣廠商的差異之處。

最後，將探討在測試完成後，我們是如何處理發現的弱點，這是一個涉及風險管理和追蹤的實務。會分享樂天集團的日本風格，特別是在處理修補時限和風險管理方面的獨特做法。希望可以提供聽眾參考，提升資安防護的效能，並促進行業內的合作和經驗分享。

關鍵基礎建設的產品資安強健性向來是政府關注的面向，從美國總統拜登發佈的行政命令 (EO 14028) 以及歐盟的 NIS2 Directive 都能夠觀察到政府機構除了重視供應鍊的資安強健性外，同時也關注資產擁有者在資安事件發生時的反應能力。

作為 component vendor，資安標準提供適用於多種場域環境下的七十分目標。但即便 IEC 62443 提供了流程上的成熟度等級，面對企業內部不同世代的產品以及工控領域產品生命週期的特性，我們如何可以怎麼逐步往整體性合格的標準靠攏。

本議程不會說明標準定義的七十分該怎麼做，而是分享我們如何透過 Product Security Incident Response Team (PSIRT) 的活動作為安全產品發展流程的回饋。利用弱點處理活動，檢視產品從需求、設計、實做、測試和驗證的流程，讓流程更趨成熟和完整。

在這次演講中，我們將探討 Security Code Review 的核心概念與目標，同時分享 Synology 如何有系統地檢測程式碼安全性問題。我們將詳細介紹靜態應用程式安全測試 (SAST) 和動態應用程式安全測試 (DAST) 的技術細節，包括文字搜尋、語義搜尋、程式碼分析工具以及模糊測試等多種檢測方法。並且透過實際案例展示這些技術在實際應用中發現漏洞的情境，我們期望這些實例能讓聽眾對檢測技術有更直觀的理解，同時提升聽眾對於程式碼安全性的認識，使其能夠運用所學知識更有效地保障產品及服務的安全性。

本演講主要在探討如何從 PM 的角度有效地識別、評估，並應對資訊安全威脅，以確保專案與產品不會成為駭客的目標。演講將涵蓋以下幾個主要部分：

1. 資安與專案管理的交集：將討論目前面臨的資安挑戰，強調 PM 在資安策略的關鍵作用。

2. 親身案例分享，並分析如何避免類似情況。

3. PM 如何學資安：分享商管出生的 PM 如何學習資安概念與相關技術。

本次演講將結合我在專案管理、產品開發與資訊安全領域的豐富經驗，目標是讓 PM 能夠更加自信地處理資安相關的問題，並將這些知識運用於日常的專案工作中。