【臺灣資安大會直擊】資安院公布產品資安3大策略，重視安全軟體開發與檢測人才，推動PSIRT、臺灣ICT產品漏洞獵捕計畫

近年來，全球各國積極制定產品安全、物聯網安全法規，可看出各界將產品基本安全要求的標準拉高。因為企業與使用者要顧好資安，有時更是墊基於所使用的產品是否足夠安全，是否預設為安全配置，以及漏洞處理與通報機制的建立。

在2025年臺灣資安大會產品資安論壇上，國際產品資安法規成焦點之一，國家資通安全研究院副院長龔化中揭露相關態勢之餘，更是宣布資安院將推動資通訊（ICT）產品資安的行動計畫，促進更多臺灣製造商將安全視為基本要求。

推動產品資安需形成產業共識，資安院祭出3大行動計畫

產品安全議題已經強調多年，過去幾年臺灣資安大會上，已有許多專家與業者，強調產品資安事件應變小組（PSIRT）的概念，推動產品資安事件的漏洞因應與處理，另也強調安全軟體開發生命週期（SSDLC）與Security by Design的概念，也就是從產品設計出發考量安全，才能降低後續產品資安事件問題發生。

然而，臺灣還有為數眾多的資通訊產品製造商，輕忽這方面的發展，或是對於改善產品資安沒有實務經驗。

如今國際上產品資安法規出現，已是一大推力，龔化中強調，國家資通安全研究院（資安院）將採3項新作法，讓還未強化產品資安的國內製造者，也能夠跟上國際腳步。

（一）推動Security by Design資安設計教育訓練

龔化中指出，資安院本身已有資安人才培育計畫，建立我國資安人才類別框架，涵蓋「12+7」種類型，未來將聚焦於兩類產品資安人才，分別是「安全軟體開發工程師」，「軟體安全檢測工程師」，以建立完整的培訓機制。

他強調，產品開發人員與測試人員本來就應具備資安知識，這才是重點，才能讓開發初期就納入資安考量，而不是等到產品完成最後才找資安工程師來解決。

因此，資安院從人才培育面著手，希望今年設計好這兩類資安人才的課綱，不過整體課程要完成規畫，可能要等到2026年，主要因為數發部預算刪除和凍結狀況，資安院亦受影響，因此要看預算何時下來才能進行。

龔化中同時強調，他們希望讓臺灣廠商產品出貨更安全，因為現在不只是Secure by Design，還要Secure by Default，也就是產品出貨時，使用者不用去調整、設定，它預設就是安全的，希望能協助臺灣所有ICT廠商達到這樣的目標。

（二）推動PSIRT及臺灣ICT產品漏洞獵捕計畫

去年資安院接手TWCERT/CC的維運，在企業溝通上，更強調以情資為主的溝通，而在產品資安的面向，現在也希望推動更多國內ICT製造商能成立PSIRT，確保漏洞即時通報修正更新。

例如，透過TWCERT/CC與各個企業PSIRT的聯繫管道的建立，確保企業能及時接收、評估、回應並修補產品漏洞。

同時也會規畫提供相關資源，幫助產業知道如何建立PSIRT與通報制度，像是制定PSIRT指引文件，規畫PSIRT漏洞通報修補程序的內容等。特別的是，現在他們正與資安署討論是否將PSIRT的要求，納入政府採購規範。

不僅是推動企業建立PSIRT，資安院還有另一項重要行動，將建立ICT產品Bug Bounty漏洞獵捕計畫，這是類似於ZDI計畫的機制，不過是由資安院扮演第三方角色，將邀請國內共同供應契約廠商與國內主要資通廠商提供產品，並協助篩選資格足夠的白帽駭客，來幫助及早發現未知的潛在問題。

（三）推進臺灣電子產品資安法規與標章來接軌國際

這兩年全球資安法規演進，已使產品資安要求更拒約束力，廠商不只要設計安全產品，也要負責產品生命週期，包括更新、通報、回應漏洞。

龔化中指出，最近國際間有幾個重要的法規，例如：歐盟網路韌性法（CRA）、英國產品安全暨電信基礎設施法（PSTI），以及美國聯邦採購的物聯網網路安全法。

以漏洞通報規範為例，漏洞通報機制已成為全球產品資安法規的標配。龔化中強調，不論歐盟CRA或英國PSTI，現在都已經是強制性要求；而從規範對象及其責任來看，法規適用範圍也擴大，供應鏈包括中小型設備商都有義務，從上述法規都可看出不僅是製造商受規範，進口商、經銷商同樣要遵循。

這顯示確保產品安全已是大勢所趨，強調產品的安全是整個網路韌性的基本。因此，資安院陸續招開這方面的說明會，幫助產業掌握這些最新產品資安要求。

更受關注的是，由於臺灣先前同樣有推動「物聯網資安標章機制」，因此龔化中認為，我們需要國際合作，商討、制定適宜的資安產品標準，並尋求簽訂MOU與MRA等方式，透過相互承認協議，減少重複合規作業的負擔，這是臺灣政府應該要做的事。

產品資安持續推動，需要公私協力

龔化中表示，過去他曾在資安公司與網通產品公司任職，對產品資安議題早有體認，因此近年是持續致力將資安融入產品開發。如今加入資安院後，凝聚業界力量是他的重大任務，希望更多臺灣製造商動起來，全面提升我國ICT產品的資安水準。

他強調，推動產品資安要形成產業共識，這需要政府跟產業一起努力才有辦法達成。龔化中亦舉例，台灣資安主管聯盟近年新增一項推動目標，同樣是要推動產品安全，希望強化產品開發跟跟供應鏈安全，提高市場的信任。在共同目標之下，包括產品資安法規的合規，以及PSIRT、漏洞獎勵計畫、SBOM等推廣，都會是接下來的發展重點。

過去幾年就有臺灣廠商積極行動，透過諸多方法強化產品資安

事實上，過去幾年臺灣資安大會上，已有許多專家與業者強調PSIRT與SSDLC的概念。龔化中在這場演說中，也快速帶領大家了解多項可採行的措施與策略。

例如，以事中事後而言，在PSIRT與漏洞通報機制方面，以PSIRT產品資安事件應變小組的運作而言，通常會在自家公司網站提供聯絡方式，讓外部研究人員有安全通報漏洞的管道，例如，聯發科與四零四科技的網站上都可找到相關資訊。他強調，不只這兩家廠商，還有不少臺灣業者都已經這麼做，還沒行動的需要趕緊努力。

在建立PSIRT之餘，除了被動方式等待通報，也有更主動的做法。龔化中表示，以華碩、Zyxel而言，特別在資安通告頁面設立名人堂以感謝通報者；以群暉、威聯通而言，會更進一步舉辦漏洞獎勵計畫，透過提供獎金的方式，讓外部研究人員更願意協助找出產品的未知潛在漏洞。此外，以Panasonic在臺灣設立的資安實驗室而言，還會將自家IoT設備化身為密罐，捕捉IoT惡意程式並建立威脅情資平臺。

以事前而言，在SSDLC安全軟體開發生命週期方面，這項議題所包含的範圍也相當廣，龔化中從導入資安法規認證來談這件事，他以友訊（D-Link）產品為例，該公司在2017年被美國FTC提告之後，於2018年準備導入IEC 62443-4-1，兩年後取得認證，就是彰顯自身在產品安全開發生命週期的進展。

後續該公司也持續投入，在2021年，該公司取得個資管理認證BS 10012，到了2023年，取得歐盟主導發展的消費型物聯網資安標準認證EN 303 645。最近2025年再次導入因應歐盟無線電設備指令RED-DA法規的EN 18031標準認證。

雖然對於SSDLC的細部層面，龔化中未能逐一說明其實例，但他前面已經提到，現在不只強調Security by Design，Security by Default也是他們推動的目標。而且，我們其實也在龔化中演說的投影片中，看到不只前兩項，還有Security by Demand，事實上，這3項現在都已成為產品資安關注的重點。

綜上所述，我們可以體認到，為了強化臺灣整體ICT產品的產品資安，需要國內製造商凝聚產業共識來齊力推動，從設計、開發到上市後的維護階段，都將產品安全視為核心價值。 尤其在全球法規日趨嚴格的今日，及早提升產品的資安競爭力，不僅能確保臺灣產品在國際市場的優勢，也等於是在認真保護使用ICT產品的企業與個人。