孫健文

對於部分廠商而言，往往會誤解為只要通過第三方的產品安全測試就等同於完成產品的資訊安全。實際上，產品安全不只是個單一的活動，而是一連串的過程；也不是只有在產品開發過程才有資安要求，當使用者拿到產品之後，才是廠商開始迎接更多挑戰的時候。隨著國際資安法規、標準及認證的要求，產品資安事件應變處理已經成為廠商在實踐產品安全必須提供的流程，因此本次演講將會說明廠商該如何建置產品資安事件應變處理程序與說明相關細節，並且以 Log4j 為例說明廠商如何透過軟體物料清單（SBOM）管理開放原始碼套件，結合產品資安事件應變程序，快速地針對新的開放原始碼套件漏洞進行應變作業。