本演講將帶您走入全球頂尖攻防競賽 Pwn2Own 的實戰場景，從廠商的角度剖析攻擊者如何成功發現並利用我們的產品漏洞。我們將分享這些漏洞的技術細節及背後的根本原因，包括開發、設計與測試過程中的關鍵疏漏，並討論如何改進安全開發生命周期（SDL），以系統性地預防類似的問題。

演講中，我們會整理多個真實攻擊案例，包括記憶體管理錯誤與配置設定問題等，深入說明攻擊的實現方式及修復的最佳實踐。透過這場演講，聽眾將可以了解 Pwn2Own 的攻擊案例，還能獲得我們在全面提升產品安全性上有哪些實用的安全改進建議。本演講特別適合對資訊安全領域有興趣的開發人員，幫助您重新審視產品安全，將挑戰化為提升的契機，為企業與用戶建立更堅固的防線。

去年的黎巴嫩爆炸案，呼叫器上面印著 Made in Taiwan，雖然事後證明是以色列策劃，但這也提醒大家要重視電子產品的資通安全。

因為電子產品設計不安全，資安沒保護好，就容易被駭客利用，進行所謂的 ｢供應鏈攻擊｣。最近美國發現中國駭客團體 Salt Typhoon 對美國電信公司進行的網路間諜活動，就是利用電信網路設備的漏洞來進行攻擊。所以要做好資安的源頭管理，一定要做好電子設備的資安。

另外自 2025 年起，英國歐盟及美國都有消費電子產品資安要求的法規陸續上路，台灣品牌必須趕快加強，才不會痛失重大的國際市場。

所以政府決心要結合民間業者的力量一起努力，做好安全的產品軟體設計 (Security by Design)，並且協助廠商和國際法規接軌，讓 Made In Taiwan / Made By Taiwan 的電子產業，成為國際認可的可信賴產業。想利用這個機會和業者分享我們的計畫。

在工業控制系統安全領域中，威脅建模是安全開發生命週期（SDLC）及產品規劃中的關鍵環節，

從產品開發設計初期執行威脅建模，到滿足安全需求並取得認證，工程或開發團隊往往面臨諸多挑戰。本演講將結合流程導入與實務落地經驗，從需求驗證與測試者的角度，展示如何依循IEC 62443-4-1標準框架，構建從威脅識別到安全驗證的完整實踐流程。

我們將逐步探討威脅建模與風險評估（TMRA）的系統化方法，說明如何在產品開發中識別關鍵威脅、評估潛在風險，並設計有效的緩解措施。透過去識別化的真實案例，展示如何將TMRA結果轉化為具體的測試需求，並與Security Verification & Validation 階段的測試要求相互驗證。

演講內容將涵蓋：

• 威脅識別與案例分享
• 針對特定威脅的測試方法等展示。

同時，我們也會分享在產品認證過程中常見的挑戰和解決方案，以及如何建立持續性的安全維運機制。

本課程適合產品開發團隊成員、系統安全工程師、軟體安全架構師，以及負責認證評測、DevSecOps、SDLC的專業人員。希望透過實用的方法建議、流程的指導與寶貴的實戰經驗，協助參與者建立工控系統安全開發流程跟加深產品安全思維。

隨著全球資安法規與標準的快速演進，安全軟體開發生命週期（Secure Software Development Lifecycle, SSDLC）已成為應對資安挑戰並確保產品合規的核心框架。本議程將由參與 SSDLC 國際標準制定的專家主講，深入探討 SSDLC 的最新趨勢與下一代標準的發展方向，涵蓋深化安全即設計、強化供應鏈風險管理，以及推動軟體組件清單應用等重要議題。

講者將剖析 SSDLC 國際標準的修訂方向，並說明全球法規如何推動 SSDLC 成為產品設計與開發流程的核心策略。同時，透過實務案例與未來趨勢的分享，展示 SSDLC 如何幫助企業應對日益複雜的資安挑戰，確保法規合規性並全面提升產品的安全性。

本議程透過多角度的國際趨勢分析，揭示 SSDLC 在下一代標準中的關鍵定位與價值。與會者將能深入理解 SSDLC 如何在提升產品開發流程的資安效能與合規能力方面發揮作用，進一步助力組織構建面向未來挑戰的競爭力與韌性。