隨著歐盟《網路韌性法案》(Cyber Resilience Act, CRA)即將於 2027 年邁入強制執行階段,全球數位產品供應鏈正面臨嚴苛的資安審查與風險檢視。對台灣企業而言,這不僅是一項合規挑戰,更是決定能否續留歐盟市場的競爭關鍵。
隨著 CRA 將資安從合規要求推升為產品競爭力關鍵,叡揚資訊憑藉完整資安產品線、專業技術團隊及累積數十年的跨產業實戰經驗,打造涵蓋產品全生命週期的合規資安架構,協助企業提前布局、將資安內建於產品與開發流程之中,成為企業邁向 CRA 合規的重要後盾。
企業資安責任擴大:從產品設計到上市後五年持續管理
叡揚資訊資安直屬事業處資深處長范家禎指出,CRA 之所以備受關注,關鍵在於其高額罰鍰與市場限制。一旦違規,企業最高可能面臨 1,500 萬歐元或全球年營業額 2.5% 的罰款,甚至可能被要求產品下架、失去歐盟市場的銷售資格。
CRA 將資安要求從「系統防護」延伸至「產品本身的安全性」,要求數位產品的製造商與品牌商,針對軟體與硬體產品負起漏洞管理與更新修補等資安責任,並在產品上市後持續符合相關規範五年以上。此外,針對已知弱點(CVE)企業需在 24 小時內完成通報、14 天內提出初步修復措施,並於 1 個月內提出完整報告。
叡揚資訊:打造從 SSDLC 到供應鏈治理的一站式資安架構
面對 CRA 帶來的挑戰,叡揚資訊以「Security by Design」與「Security by Default」為核心,協助企業建立完整的安全開發與治理架構。叡揚資訊資安直屬事業處副處長郭俐佳建議,真正的 CRA 合規,並不是產品完成後再額外補強,而是從設計、開發到維運,全流程都必須納入安全機制。因此,叡揚資訊近年持續整合國際領先資安產品與在地顧問能力,逐步建立涵蓋原始碼安全檢測、開源元件與 SBOM 管理、供應鏈風險管理、App 防護,以及 C/C++ 安全等完整產品與服務版圖,協助企業從開發源頭到產品維運階段,建立更完整的資安治理能力。
在開源元件與 SBOM 管理方面,叡揚資訊引進 Mend.io 協助企業建立完整的軟體組成盤點與漏洞管理能力。Mend.io 不僅能自動分析企業產品內使用的開源元件與相依套件,更可產出符合國際標準格式的 SBOM 文件,協助企業滿足 CRA 與國際供應鏈要求。相較於傳統僅止於漏洞掃描的工具,Mend.io 更進一步具備 Reachability Analysis(可利用性分析)能力,可分析漏洞是否實際被程式呼叫、是否具備被利用風險,協助企業優先聚焦真正需要立即修補的高風險漏洞。此外,Mend.io 也能整合 DevSecOps 流程,自動納入 CI/CD Pipeline 中,讓安全檢測成為開發流程的一部分,當掃描結果超過企業設定的風險門檻時,系統甚至可自動中止發布流程,避免具高風險漏洞的程式碼直接進入正式環境。
而在 CRA 越來越重視產品安全(Safety)與資安安全(Security)並行的趨勢下,針對大量使用 C/C++ 的系統,叡揚資訊也透過 CodeSonar 協助企業強化程式安全與品質管理,因應車載、工控、醫療設備與嵌入式系統等高可靠度場域的安全要求。相較於一般應用程式開發,這類系統往往直接關係到設備運作穩定性與人身安全,因此除了資安弱點外,也必須同時兼顧程式品質、記憶體管理、邏輯錯誤與潛在異常風險。
除了產品本身的安全性,供應鏈安全同樣是 CRA 的核心重點。過去企業管理供應商風險時,常透過問卷、人工稽核與文件確認方式進行,但這樣的流程不但耗時,也難以真實反映供應商的即時安全狀態。因此,叡揚資訊也引進 Bitsight 協助企業建立更即時、可量化的供應鏈風險管理機制。Bitsight 可自動分析供應商外部暴露風險、憑證安全性、弱點狀態、暗網外洩資訊與整體資安評分,並以視覺化儀表板(Dashboard)方式,協助企業即時掌握供應鏈風險變化,讓企業不再需要透過人工逐一發送問卷與追蹤驗證,而能以更即時、自動化的方式掌握供應商安全趨勢,及早發現潛在風險。
若企業以 App 形式服務使用者,或提供 SDK 軟體元件,也可透過 Digital.ai 逆向工程防護與程式碼保護技術,強化產品在外部環境中的自我防護能力,防範駭客重新打包應用程式並植入惡意程式碼,確保產品在實際運行環境中的安全性。此外,Digital.ai 通過 FIPS 140-3 驗證的白箱加密技術,有效保護應用程式中的敏感資料與金鑰,確保資料在傳輸與儲存過程中的安全性。
從找到漏洞,到真正完成修補:企業更需要可追蹤的治理機制
除了漏洞盤點與風險識別外,CRA 更重視企業是否具備持續性的弱點修補與追蹤能力。叡揚資訊發現,許多企業現在最大的問題並不是「找不到漏洞」,而是漏洞發現後,缺乏跨部門協作、修補追蹤與管理機制,導致問題長時間無法真正被解決。
因此,叡揚資訊也透過 Tracko SecOps 協助企業建立更完整的弱點治理流程,讓資安團隊、開發團隊與管理單位能在同一平台上協作,從弱點發現、任務派送、修補進度到驗證結果,都能被完整追蹤與管理。尤其 CRA 對漏洞通報與修補時程有明確要求,企業不只需要知道「哪裡有問題」,更需要能夠快速掌握「誰負責修、修到哪裡、是否完成驗證」,才能真正建立符合國際法規要求的持續治理能力。
透過 Tracko SecOps,企業也能將弱點管理流程與既有 DevSecOps、SBOM 與風險管理機制串接,建立更完整的安全開發與營運治理架構。
叡揚資訊范家禎處長認為,CRA 帶來的影響,短期看似是法規壓力,但長期來看,將重新定義全球數位產品的競爭門檻。當市場開始要求產品必須具備可驗證的安全能力時,資安將不再只是成本,而會成為企業能否進入國際市場的重要競爭力。尤其對台灣企業而言,若能及早建立 SBOM、供應鏈治理與安全開發機制,不只可降低未來合規衝擊,更有機會在全球供應鏈重組過程中,取得更高的市場信任與競爭優勢。
而叡揚資訊,正透過整合國際產品、在地顧問服務與完整技術能力,協助企業從被動因應法規,走向真正具備韌性的安全開發與產品治理能力。
