Security

資安電子報

叡揚資訊 聲明
叡揚資訊 | 發布日期:2020年10月25日
近日有某些網站業者使用「GSS」圖樣作為標示,由於該文字與圖樣皆與本公司叡揚資訊(Galaxy Software Services)之英文縮寫註冊商標「 GSS 3 word 」(註冊號數:00029098 ) 相似度極高,易造成混淆,並致民眾誤信其為本公司所營運之服務網。
特此聲明,本公司係一在台灣營運之軟體服務公司,以提供企業軟體及服務為主,並未在台灣及國外招攬會員從事金融投資等相關活動,本公司所屬集團亦未設有數位分析服務網站,建請民眾謹慎小心,辨明是否為本公司服務。
如有任何疑慮,可上本公司官網 www.gss.com.tw 查詢,或請於上班時間(周一~周五AM9:00~PM18:00)洽詢,客服專線 02-2586-7890,客服信箱 service@gss.com.tw。
訂閱電子報
第 1 頁,共 24 頁
GSS 資安電子報 0242 期【從漏洞偵測到修補優化:Claude 引領 AI 安全新時代】
Claude Code Security 的推出,對整個產業都是一則好消息。並不是因為它取代了傳統的應用程式安全。也不是因為它讓 AI 生成的程式碼一夕之間變得安全。而是因為它驗證了一件許多資安領導者早已明白的事實:AI 編寫程式碼帶來新的風險,而這些應用程式安全風險也需要以原生的、具代理能力(agentic)的AI 因應。

在這個越來越多程式碼由 AI 助理撰寫的時代,安全不能再是提交(commit)之後才外掛補上的流程。如果漏洞是在 AI 編碼階段之後才被發現,往往已經太遲。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0242 期【案例解析:透過 Claude Opus 4.6 獵捕零日漏洞】
AI 真的能找到 Zero-Day 漏洞嗎?一個 AI 模型能夠自主找出真實、此前從未公開、存在於正式環境軟體中的安全漏洞。這聽起來是劃時代的突破,「它 真的那麼厲害?」在 Anthropic 發布 Claude Opus 4.6 並展示其發現 zero-day 漏洞能力時,這正是外界的第一反應。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0242 期【 當 AI 驅動資安:Claude Code Security 開啟 AppSec 新篇章 】
Anthropic 推出 Claude Code Security,確實令人振奮。這並不是因為它在一夜之間改變了一切,而是因為它確認了一個重要趨勢:將 AI 驅動的資安能力嵌入開發者工作流程,正逐漸成為新的常態。

Claude Code Security 將 AI 驅動的回饋直接帶入 Pull Request 與 IDE 之中。它能閱讀程式碼、以自然語言說明潛在漏洞,並在開發者實際工作的場景中提出修補建議。這一點意義重大。多年來,資安往往是開發者需要「交接」或「等待」的環節。如今,智慧化回饋能在即時、具脈絡、甚至對話式的情境中發生。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0241 期【OWASP Top 10 2025 的演變:從「修補漏洞」邁向「架構韌性」的轉型之路】
2025 年 11 月,資安界的黃金標準國際開放網路應用安全專案(OWASP)正式發布了最新版的 OWASP Top 10: 2025 Release Candidate。這份每隔數年更新一次的文件,不僅是開發人員的技術指南,更是企業決策者評估風險的戰略地圖。

在雲端原生、微服務(Microservices)與生成式 AI 爆發的今天,2025 年的版本釋出了一個強烈信號:資安的戰場已經從「單點漏洞的修補」,轉向「整體架構的韌性設計」。這不僅僅是排序的更迭,更是一次防禦思維的範式轉移。
GSS 資安電子報 0241 期【最新 OWASP Top 10 2025 全解析】
雖然 OWASP Top 10 中的漏洞有很大一部分是由「不安全的編碼」所造成,但安全的編碼能幫助我們降低被攻擊成功的機率。然而,世上並不存在一個絕對安全、永遠不會出錯的程式,系統仍可能因攻擊或例外狀況而發生問題。
GSS 資安電子報 0240 期【NPM 供應鏈攻擊變種回歸:Shai-Hulud 沙蟲 2.0 分析 】
近期發現一個經大幅進化名為 Sha1-Hulud 的惡意程式!目前受影響的套件超過 800 個。這次不只是偷憑證,還多了「長期後門」能力,能透過遭入侵的 GitHub Actions Runner 維持存取,並強化對各大雲環境憑證的擷取能力,會讓防守方以為清乾淨後,仍持續進得來。這次更新展現了供應鏈攻擊手法的明顯進化,使攻擊者即使被偵測到初始感染後,仍能長期控制開發者工作站與 CI/CD 環境。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0239 期【您必須了解的 58 個生成式 AI 資料分析】
生成式人工智慧(Generative AI)已不再是小眾技術,它正在重塑各行各業、工作流程,甚至整個市場。然而,隨著採用率急速上升,也帶來了影響、風險與資安的新問題。我們整理了 2025 年關於生成式 AI 的統計資料。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0239 期【行動應用防護使用 MDM、MTD 仍不足?CISO 不能遺漏的 MAV 主動策略 】
在保護行動生態系統時,並不是單純地將應用程式標示為「好」或「壞」。真正的關鍵在於基於風險做出正確決策。即使某款應用程式被廣泛採用,也不代表它在 COBO(公司擁有、員工使用)環境中就是安全的。
 
你已經嚴格控管終端設備、強化網路防禦,並制定嚴謹的行動安全政策。但為何行動威脅依然能突破重圍?如果你是 CISO,你擁有防火牆、EDR、MDM、零信任政策等完整的資安策略。你的企業甚至可能採用 COBO(公司擁有、僅供商業用途)環境,全面掌控員工使用的裝置、網路與應用程式。

那還有什麼需要被保護?
Quokka(Kryptowire)App 黑箱檢測
GSS 資安電子報 0238 期【s1ngularity 供應鏈攻擊事件:對雲端與 AI 安全的意涵 】
2025 年 8 月 26 日,開源生態系受到新的供應鏈攻擊衝擊,目標鎖定了 Nx,這一個被數千名開發者使用的熱門建構系統。攻擊者將惡意套件版本發佈到 npm,在背後悄悄竊取開發者的敏感資產。

製造業是全球供應鏈的支柱,一旦遭受網路攻擊而使營運中斷,即便只有短暫停擺,也可能引發巨大連鎖效應。生產延誤、出貨延遲及服務中斷會迅速波及其他產業。更令人擔憂的是,這種依賴性在事件發生前往往難以察覺,就像 COVID-19 疫情這類事件,突然爆發,才揭露出系統的脆弱性與高度相互關聯性。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS 資安電子報 0238 期【一環失守,全鏈陷入風險:製造業供應鏈重要性剖析及戰略因應】
在 2025 年的《 State of the Underground 》報告中,Bitsight TRACE 指出製造業已連續三年成為最主要的攻擊目標,佔可追溯產業的 4,853 起網路攻擊事件中的 22%。

製造業是全球供應鏈的支柱,一旦遭受網路攻擊而使營運中斷,即便只有短暫停擺,也可能引發巨大連鎖效應。生產延誤、出貨延遲及服務中斷會迅速波及其他產業。更令人擔憂的是,這種依賴性在事件發生前往往難以察覺,就像 COVID-19 疫情這類事件,突然爆發,才揭露出系統的脆弱性與高度相互關聯性。
Bitsight可視化外部風險暨廠商供應鏈管理
GSS 資安電子報 0237 期【2026 年最新趨勢《AI 時代的應用程式安全未來》 】
對於一個長期習慣快速變革的產業來說,2025 年可能將被記為真正改變遊戲規則的一年。根據 《2026 應用程式安全的未來趨勢》(The Future of Application Security Report),這項由 Censuswide 代表 Checkmarx 進行的全球研究顯示,應用程式開發已進入新階段,AI 現在編寫了大部分甚至幾乎所有程式碼。然而,安全實務仍停留在過時假設中,讓未受控的 AI 生成程式碼以前所未有的速度進入生產環境。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0237 期【NPM 生態系統受攻擊:自我傳播惡意程式入侵 187 套件,引發重大供應鏈事件 】
NPM 生態系統近期遭遇迄今為止規模最大的供應鏈攻擊之一,超過 187 個熱門套件被先進惡意軟體入侵,該惡意軟體具備 自我傳播能力 並能自動蒐集憑證。受影響套件每週下載量龐大,包括 angulartics2、ngx-toastr、@ctrl/tinycolor 等。此次攻擊顯示網路犯罪者正進化攻擊手法,開發出類似「蠕蟲」的惡意程式,可自動在軟體供應鏈中擴散。本文將對攻擊方法、惡意載荷技術能力,以及此次前所未有供應鏈入侵的 IOC 進行完整分析。
Mend.io (WhiteSource)Open Source 檢測