研討會：不只是 SBOM，現在更需要建立「漏洞應變能力」

## SBOM 之後，關鍵在於「漏洞應變能力」
2026 年 9 月 11 日，歐盟網路韌性法案 (CRA) 的報告義務即將啟動。在舉辦本研討會時，距離期限僅剩約 90 天。許多企業正急於準備軟體物料清單 (SBOM)。

然而，CRA 所要求的絕非僅僅是提交 SBOM。它還要求：
- 公開並營運漏洞報告管道
- 對已遭濫用的漏洞進行快速判斷與通知
- 持續性的更新應變能力
- 一套能使上述流程「可重現」的組織體制

換言之，審核的重點並非「是否掌握漏洞」，而是「是否處於能持續應對的狀態」。CRA 本質上將軟體產品應有的品質可視化。現在，企業亟需建立一種全新的組織能力，即「漏洞應變能力」。

## 因無法掌握與判斷而停滯的現場
許多開發現場正面臨以下挑戰：
- 無法完全掌握漏洞的確切位置
- 即便有檢測結果，也無法判斷優先處理順序
- 無法決定產品發佈與否
- 應對方式過於仰賴特定個人，無法形成組織流程

這不僅是工具或技術問題，而是「無法掌握 × 無法判斷 × 無法運作」的結構性難題。產業正進入一個傳統「以診斷為核心」的模式已不足以應付的新領域。

## 如何重構 SBOM 之後的「營運」與「組織設計」
本研討會將重新審視 CRA 合規性，將其視為「產品在出貨後仍能應對威脅環境變化」的產品品質。我們將剖析為何漏洞管理會停滯、為何組織流程無法運作，並解釋 SBOM 之外所必需的「判斷」與「營運」概念。

- 目標對象：面向歐洲市場的製造業、嵌入式設備與軟體供應商。
- 學習重點：風險資訊整合、處理優先級判斷、建立永續的營運框架。

主辦單位：Asterisk Research Inc.
協辦單位：Majisemi Co., Ltd.