隨著 SBOM、SCA 與容器映像掃描工具逐漸成熟並整合進 CI/CD Pipeline，安全左移已不再是口號，但隨之而來的是開發團隊每天面對大量 CVE 漏洞通知、卻不知從何下手的真實困境。本議程將從企業實務角度出發，說明為何單靠 CVSS 評分做決策往往失準，並介紹如何結合 EPSS 與 CISA KEV，建立一套風險導向的漏洞優先排序框架。期望聽眾帶走的不只是工具知識，而是一套在產品安全與開發效率之間取得平衡的實務決策思維。

• DevSecOps 工具現狀：SBOM、SCA 與映像掃描能做到什麼？

介紹目前主流漏洞掃描工具的原理與應用場景，說明這類工具整合進 CI/CD Pipeline 的方式，以及在開發早期發現漏洞的實際效益與限制。

• 企業實務困境：為什麼安全工具反而讓團隊更焦慮？

套件生態快速演進，漏洞通知幾乎永無止盡。說明開發團隊在修補速度跟不上漏洞發布速度的結構性壓力下，常見的應對誤區與 Alert Fatigue（警報疲勞）的代價。

• 風險導向決策：從 CVSS Only 到 CVSS + EPSS + KEV

說明 CVSS 評分的價值與盲點，介紹 EPSS（漏洞被實際利用的機率預測）與 CISA KEV（已知遭野外利用漏洞清單）的意涵與查詢方式，並示範三層過濾邏輯如何將龐大的漏洞清單縮減為真正需要優先處理的可執行清單。

• 文化與流程：在產品安全、開發效率與修補成本之間取得平衡

分享如何在組織內推動合理的漏洞 SLA 機制、CI/CD Break Build 策略設定，以及讓開發者真正接受並信任安全工具的溝通方式，讓安全治理變成可持續的日常實踐而非一次性的專案。

聽眾收穫：

1. 掌握 SCA、映像掃描等主流漏洞掃描工具的基本原理
2. 理解 CVSS、EPSS、CISA KEV 三種漏洞風險判定指標的意涵與互補關係
3. 學會一套可落地的漏洞優先修補排序框架，告別「全部都要修」的低效決策
4. 獲得在安全要求與開發節奏之間取得平衡的實務思路，適用於不同規模的工程團隊