資安與專案管理的整合能夠有效提升專案效率，避免資安問題成為進度的瓶頸。本議題將介紹如何在專案生命周期（SDLC）中融入資安檢視，特別是在需求定義、設計與開發階段進行預防性資安措施，確保專案時程順利推進。針對弱點修正，將分享如何在專案管理框架中快速評估風險、制定優先級，並運用甘特圖、敏捷看板等方法合理分配資源，確保修正流程與時程規劃同步。

專案管理工具如 JIRA 和 Confluence 的應用分享，以提升修正進度的透明度與跨部門協作效率。此外，演講將聚焦於過往專案的實戰經驗，分享如何解決跨部門溝通障礙和資源分配問題，並介紹實際應對策略。

本議題特色在於強調資安與專案管理的雙向結合，將資安措施嵌入每個專案階段，並分享來自多個大型專案的實務經驗，幫助與會者將這些策略應用於實際工作中，實現更有效的資安管理與專案執行。

在資安掃描與修復的過程中，我們常面臨一個關鍵挑戰：如何將通用的資安建議轉化為符合系統實際情況的修補方案。將分享如何將累積的弱點修補經驗，結合 RAG 技術，打造一個真正理解系統的智慧資安顧問。

從實戰經驗出發，我們將深入探討如何建立完整的知識庫，包含各種弱點的修補策略。透過整合這些知識，打造出能夠提供修補建議的智慧顧問。演講中將展示實際的應用案例，說明如何讓這個系統在 CI Pipeline 中自動運作，協助開發團隊更有效率地解決安全弱點。以及分享如何系統性地收集和轉化修補經驗，建立自己的智慧化資安顧問，並學習如何讓這個顧問真正理解系統架構，進而提供更精準的安全建議。

App 本身的安全性是開發者不容忽視的議題，如果缺乏適當的保護手段，攻擊者能夠輕易透過逆向工程來分析應用程式的結構與功能，進而做出危害開發者利益的行為，例如破解付費功能、竊取敏感資料或甚至是植入惡意程式碼後再散佈。本次演講將探討如何透過編譯器來保護 App 程式碼，增加逆向工程難度，聽眾預期將會了解現代編譯器的設計理念、Clang/LLVM 的基礎知識、可於編譯器中實作的程式碼保護方法、開源方案的使用以及 ICEshell 開發編譯器保護方案的心得與挑戰。

本演講將探討如何將 AI 合規 (AI Compliance) 無縫融入 DevSecOps，在技術創新與法規遵循之間取得平衡。隨著 AI 應用的普及，歐盟 AI Act 作為全球首部 AI 法規，對企業的技術發展與風險治理提出嚴格要求，大幅提升合規門檻。

我們將解構 AI Act，回溯其從 AI 白皮書 → 可信任 AI → AI Act 的演進歷程，並結合 ISO 42001方法，探討如何從風險管理到治理、流程管理、數據管理、AI 演算法、系統架構、輸出與輸入流程，全面落實 AI 合規。

此外，演講將解析如何將合規要求內嵌於 DevSecOps 全生命周期，涵蓋安全與隱私、倫理規範、法律風險管理與持續改進，最終構建以人為本的可信任 AI，幫助企業在 AI 法規快速變遷的環境中掌握競爭優勢。

傳統系統開發上，只有系統正式上線前，才會需要經過完善的掃描和保護，也只有正式系統的安全性會受到重視。

但在公有雲進行開發時，其實從資源建立的那一刻開始，系統就已經開始面對外在的種種挑戰。

而這些POC、開發、測試或Demo環境被攻破後，可能帶來的危害其實也遠比想像中來的大。

在這個講座中，會細數在開發測試等環境中，可能遇到的資安風險，以及需要做到的安全防護。

隨著DevOps的普及，將安全性整合到開發流程變得至關重要，持續測試也是不可或缺的一部分。在CI/CD當中會有許多測試，以DevSecOps角度而言，DAST固然是一項重要的安全測試。但實際上DAST可能仰賴專業知識，並且在整合進入管道時，通常並不是這麼「友善」，包含耗時過久，無法有效找到弱點。這場議程將中測試開始說起，詳細深度解析以網站作為動態測試的DAST網站弱點掃描，還有如何正確並適當的將DAST整合進入管道中，實現持續測試的目標。

此議程將探討 DevSecOps 和自動化安全檢測的實施經驗，介紹如何在敏捷開發中整合安全檢測，並展示安全和效率可以並行不悖。聽眾將學到實際操作方法，並理解如何改變團隊對於資安檢測的傳統觀點。

With new standards rapidly emerging, cybersecurity for regulated technologies like GMP, digital health, SaMD (Software as a Medical Device), and IoMT (Internet of Medical Things) now demands advanced approaches to security risk management.

We invite developers, software quality professionals, and security specialists to join us for Regulated Software Threat Modeling: A Practical Walk-Through, where we will explore strategies to meet and extend the guidance from the MITRE Playbook for Threat Modeling Medical Devices. Using practical frameworks, tips, and tools—such as MITRE CWE, DFD, STRIDE, CVSS, and more—we’ll cover best practices for conducting thorough, defensible, and compliant software security risk assessments, from identification and analysis to mitigation and evaluation for your application or digital system.