為因應不斷升級的資安挑戰，歐美推動多項資安法規，並積極倡導企業建立 SBOM，以提升軟體供應鏈的透明度。透過 SBOM，企業可即時更新軟體元件以防堵已知漏洞，或利用其中的詳細資訊加速應變反應時間，降低攻擊對系統的影響。SBOM 的導入不僅有助於提升企業在軟體供應鏈安全上的主動性，亦能有效應對不斷變化的威脅，成為強化資安的關鍵工具。然而，企業是否對 SBOM 的概念足夠了解？是否已做好應用準備？如何將其化為有效的防禦武器？本次將全面介紹其基本概念、推動原因與必要性，並分享業界導入案例，展現其在提升軟體供應鏈透明度與漏洞風險管理中的實際效益。此外，針對企業導入過程中的常見挑戰與疑惑，我們也將提供建議與解答，協助企業提升整體韌性與競爭力，更有效地應對資安威脅。

隨著 SBOM 作為軟體供應鏈安全管理的必要提供項目逐漸普及，如何利用其進行弱點管理成為新的挑戰。本次演講將探討追求零 CVE作為安全標準的適用性，分析即使存在限制，為何仍要建立這樣的安全策略，並且分享產品開發實務中安全與供應鏈現實的平衡之道。

2024 年開始零日漏洞與供應鏈攻擊就被視為讓企業最為顧忌的「黃金組合」威脅，加上地緣政治壓力更直接加劇產品供應鏈資安的關注，促使各國提升產品軟體與韌體資安標準，預期產品供應鏈資安審查將常態化。

本次演講將分享如何將資安工程融入產品開發與供應鏈管理，實現安全左移，以對抗日益自動化的駭客攻擊手法，幫助企業可信任供應鏈的建立。

同時，闡述台達電如何在技術架構上引入新思維，以確保從研發到部署的全程安全，進一步提升供應鏈的透明度、漏洞管理效率，軟體運行的動態安全，以及產品韌性，有助於增強了市場信心與競爭力。

歐盟資安韌性法 (CRA) 是歐盟的一項立法，用於管理在其用於管理其區域內具數位元素產品的網路安全。鑒於相關的產品製造商最早將於 2026 年就必須遵守相關的通報義務。而這些規則是強制性的，違反將面臨巨額罰款。此議程將分享我們 PSIRT Team 是如何準備應對此法規，使此法規也成為我們的資安防護壁壘。

在此議程中，我們先將破百條的法規內容歸納為開發與生產要求、漏洞管理要求、市場銷售規則，以及市場監督規定類別，並逐一說明特殊的規定與易於忽視的內容。從中，我們將說明我們 PSIRT Team 是如何確保這些項目在於掌控之中。舉例來說，歐盟資安韌性法規範了通報義務，當製造商遭遇嚴重資安事件或發現漏洞正被利用時，應在不同的時限內提供指定的資料予歐盟。對此， PSIRT Team 是如何建立處理流程。

歐盟網路韌性法案（EU CRA）即將於2027年12月11日強制執行，屆時，多數銷往歐盟的數位產品都將受到影響。 這意味著產品需要符合更嚴格的資安要求，包括更完善的漏洞通報與處理機制，以及更長期的安全更新支援。

本課程將深入淺出地介紹EU CRA的重點，涵蓋其基本資訊、核心安全功能要求，以及對產品開發流程的影響。 由於目前EU CRA的合規細節尚未完全明確，本課程將分享我們在工控產品導入安全開發管理的實戰經驗，為您提供務實的準備建議，協助您的產品符合EU CRA的要求，同時也能為未來可能出現的資安法規做好準備。

美國在川普政府第一任期內推出CMMC政策，拜登政府維持政策目標接續對CMMC進行公眾意見蒐集、調整與公告施行，現隨著川普第二任期的回歸，其推動力度與標準是否會面臨改弦易轍的挑戰？國防供應鏈安全是國家戰略資源穩固、軍事科技自主與機敏維護能力的總體體現；在全球地緣政治緊張加劇、衝突風險上升情境下，供應鏈整體安全問題，尤其是國防工業領域，已然成為各國關注及致力強化的顯學。臺灣因其在全球高科技供應鏈所受關注的角色，一直是資安威脅與惡意攻擊熱點；對臺灣而言，考慮導入CMMC之際，更應以「安全、自主」為策略目標展開完整行動；國防供應鏈安全機制的完善建構，非僅關係到與盟友邦間合作契機的拓展，更是產業永續發展、國防自主與防衛能力升級的具體實踐。