當 CRA 正式上路，產品研發團隊面對的不再只是功能開發，而是產品全生命週期的資安責任

• 在產品設計階段納入資安要求
• 持續管理產品中的漏洞風險
• 提供軟體組件透明度（SBOM）
• 建立漏洞處理與事件回應能力
• 確保產品在整個生命週期中的安全維護能力

如何在產品生命週期中，持續維持 CRA 所要求的資安治理能力

CRA 對產品研發團隊帶來哪些實際挑戰？

挑戰一：如何掌握產品所使用的開源元件與第三方套件？

• 開源套件
• 第三方元件
• 外部 SDK
• Container Image
• AI Framework

• 產品內使用了哪些元件
• 元件版本為何
• 是否存在高風險漏洞
• 哪些產品受到影響

這使得企業在面對 CRA 要求時，難以提供完整且持續更新的 SBOM。

挑戰二：新漏洞出現時，如何快速判斷影響範圍？

• 哪些產品受影響
• 哪些版本需要更新
• 哪些元件存在高風險漏洞
• 哪些客戶環境可能受到衝擊

挑戰三：缺乏可追蹤、可稽核的修補流程

• 漏洞處理能力
• 安全更新能力
• 事件通報能力
• 可追溯治理流程

• 修補責任不明
• 漏洞處理進度難以追蹤
• 缺乏完整紀錄
• 管理層無法掌握風險狀態

這使得企業即使進行修補，也難以證明自身具備持續治理能力。

挑戰四：OT、IoT 與邊緣設備的更新風險更高

• 停機風險
• 相容性問題
• 韌體更新限制
• 現場維護成本

而不只是單純修補所有漏洞。

CRA 時代下，企業需要的是持續性的產品資安治理能力

• 持續維護 SBOM
• 持續追蹤漏洞風險
• 建立元件透明度
• 快速識別受影響產品
• 建立修補責任鏈
• 保留可稽核紀錄

因此，產品研發流程也必須從傳統開發模式，逐漸轉向Secure-by-Design + 持續性供應鏈治理模式

CIMS 如何協助研發團隊建立 CRA 所要求的治理能力

台灣應用軟件公司在資訊安全領域有超過20年顧問諮詢輔導經驗，根據ISO 27001、NIST及CRA對漏洞處理的要求，發展CIMS（Cyber Intelligence Management System）資訊安全威脅情資管理系統，CIMS是以「威脅情資 × SBOM × 資產 × 漏洞治理」為核心所設計的整合平台。
其核心目的，不只是漏洞管理，而是協助企業建立：可持續運作、可追蹤、可稽核的產品資安治理機制

以回應 CRA 與供應鏈治理要求。

自動化 SBOM 生成與持續更新

• 使用了哪些開源元件
• 第三方套件版本
• 軟體依賴關係
• 產品組件結構

並建立持續更新的元件透明度機制。

持續比對 CVE 與產品元件風險

• 哪些產品受到影響
• 哪些元件存在高風險漏洞
• 哪些版本需要更新
• 哪些系統應優先處理

降低人工分析與判斷負擔。

建立產品、元件與責任人治理鏈

• 關聯受影響產品
• 指派修補責任人
• 生成 Ticket
• 追蹤改善進度
• 保留修補紀錄

協助企業建立符合 CRA 要求的可追蹤治理流程。

建立風險視角與決策支援能力

• 高風險產品分布
• 未修補漏洞狀態
• 元件風險熱區
• 修補進度趨勢
• 供應鏈風險狀態

協助企業建立產品安全治理與決策能力。

從產品開發走向產品治理，將成為 CRA 時代的重要能力

• 威脅情資
• CVE
• SBOM
• 元件管理
• 修補流程
• 風險分析
• 稽核紀錄