Security

資安電子報

叡揚資訊 聲明
叡揚資訊 | 發布日期:2020年10月25日
近日有某些網站業者使用「GSS」圖樣作為標示,由於該文字與圖樣皆與本公司叡揚資訊(Galaxy Software Services)之英文縮寫註冊商標「 GSS 3 word 」(註冊號數:00029098 ) 相似度極高,易造成混淆,並致民眾誤信其為本公司所營運之服務網。
特此聲明,本公司係一在台灣營運之軟體服務公司,以提供企業軟體及服務為主,並未在台灣及國外招攬會員從事金融投資等相關活動,本公司所屬集團亦未設有數位分析服務網站,建請民眾謹慎小心,辨明是否為本公司服務。
如有任何疑慮,可上本公司官網 www.gss.com.tw 查詢,或請於上班時間(周一~周五AM9:00~PM18:00)洽詢,客服專線 02-2586-7890,客服信箱 service@gss.com.tw。
訂閱電子報
第 1 頁,共 27 頁
GSS資安電子報 0231 期【雲端安全警報:2025 OWASP 發布非人類身份十大風險】
根據 Orca 研究團隊的分析,雲端環境中非人類身份 (Non-Human Identities, NHI) 的數量平均比人類身份多出 50 倍。隨著雲端環境中自動化流程和 AI 服務的蓬勃發展,NHI 的數量正持續快速攀升。NHI 在雲端運算中扮演著關鍵角色,它們賦予數位身份所需的雲端存取權限,驅動著重要的應用程式並實現高效的營運。在本文中,我們將深入探討 OWASP 非人類身份十大風險專案,闡述它與雲端安全的關聯,並分享 Orca 研究團隊的重要發現。同時,我們也會提出最佳實踐,協助您的公司/企業防範 2025 年 NHI 可能面臨的主要風險。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS資安電子報 0230 期【2025 年 AI 與安全設計的十大關鍵預測】
本期電子報為您帶來「2025 年 AI 與安全設計的十大關鍵預測」,這份預測是由 Secure Code Warrior 技術研究團隊所分享,他們長年專精在安全程式開發領域,同時也是 OWASP Top 10 組織的  Sponsor。現在就讓我們來看一下 AI 與安全設計的組合究竟會擦出那些火花吧!

  展望 2025 在這個充滿挑戰且興奮的一年之後,AI 與軟體開發的結合,將持續為開發者社群帶來重要且深遠的影響。在人工智慧的浪潮下,企業在 AI 的使用與管理上面臨艱難的決策。如何使用 AI 提高長期生產力、資安投報率以及永續發展成為時代新課題。
資訊安全線上課程平台:Secure Code Warrior 安全程式培訓平台安全程式培訓平台
GSS資安電子報 0230 期【2025 年雲端資安趨勢預測:最新防禦與策略】
2024年,雲端資安迎來了各種發展,其中包括雲端風險、創新防禦及跨品牌合作等。隨著 2025 年到來,各企業組織也針對可能的變化開展新的資安策略。Orca Security 資安專家團隊也根據各項趨勢分析,歸納出 2025 年雲端資安 5 大關鍵預測。以下將簡要闡述每項預測的重點、影響及企業的因應建議。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS資安電子報 0229 期【隱藏威脅逼近:過時的 Java 系統安全風險】
盡可能保持企業系統的安全應該是顯而易見的,不是嗎?不幸的是,由於需要考慮如此多的安全方面,這一點在一些最重要的地方常常被忽視。

  例如,Java 執行時期,在 2019 年之前,使用最新的安全性修補程式更新 JDK 非常簡單,並且不會產生直接成本。當 Sun Microsystems 發布 Java 時,您可以免費下載 Java 開發工具包,除非您將其用於某種嵌入式或 一次性應用程式 (例如使用嵌入式 PC 的售票 kiosk)。即使 Java 的新版本發布(每兩年、三年甚至四年才發布一次),與持續的免費更新也有相當大的重疊,以實現平穩過渡。

  Oracle 在 2010 年收購了 Sun 後,繼續以相同的方式提供 JDK,直到 2019 年。現在,就像發條一樣,我們每年都會有兩個新版本的 Java:一個在 3 月,一個在 9 月。

  這種更快的發布節奏導致了 Oracle JDK 長期支援(LTS)版本的引入,因為為所有版本提供擴展維護和支援是不切實際的。最初,每三年發布一個新的 LTS 版本,但現在已縮短為兩年。

  目前的 LTS 版本是 JDK 8、11、17 和 21。
azul安全高效Java JDK
GSS資安電子報 0229 期【緩解影響 GNU/Linux 系統的 CUPS RCE 漏洞】
CUPS(通用 Unix 列印系統)和相關元件中發現了多個漏洞(其中一個嚴重漏洞)。這些漏洞(CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和CVE-2024-47177)允許未經驗證的遠端程式碼執行(RCE),影響所有主要 GNU/Linux 發行版,包括 Debian 和 Red Hat 。

  如果被利用,它可能會導致遠端程式碼執行(RCE),從而可能導致整個系統受損、資料遺失和進一步的攻擊。建議立即關注並採取緩解措施。

  在這篇文章中,我們將說明需要採取哪些步驟來防範這些漏洞,以及 Orca 雲端安全平台如何提供協助。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS資安電子報 0228 期【如何應對新版本 OWASP Mobile Top 10 2024 要求】
如今,Mobile App面臨著多種風險,這些風險會暴露應用程式及其訪問的個人和企業資料。隨著Mobile App的發展日益複雜,遭受網路攻擊的途徑也隨之增加。如何識別最重要的風險並採取措施來應對?
Quokka(Kryptowire)App 黑箱檢測
GSS資安電子報 0228 期【防範資料外洩風險:選擇第三方套件時的五大注意事項】
在當今數位時代,企業越來越依賴第三方套件。然而,近期有報導指出,部份企業在其網站使用來自中國的第三方資料分析開發套件,這引發了潛在的資料外洩風險。因此,開發人員在選擇和使用這些套件時,必須格外謹慎。
Mend.io (WhiteSource)Open Source 檢測源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS資安電子報 0228 期【如何防止 Android 應用程式的逆向工程】
在當今以移動為主的世界中,Android 應用程式已成為數位商業策略的基石。然而,隨著應用程式使用量的增加,針對這些應用程式的複雜威脅也隨之上升。開發者和企業面臨的最迫切問題之一是逆向工程的風險,惡意攻擊者會對應用程式進行反編譯並分析其程式碼,以發現漏洞、提取敏感資料或複製專有功能。為了防範這些威脅,實施強大的應用程式保護技術是至關重要的。本文將深入探討保護 Android 應用程式免受逆向工程攻擊的策略和最佳實踐,確保您的應用程式在日益惡劣的數位環境中保持安全。
Digital.ai App ProtectionApp & Web 防護
GSS資安電子報 0227 期【網路微分段:強化資安防護的新趨勢與實踐】
微分段(Microsegmentation),又稱為微切分或微分隔,是一種現代網路安全策略。透過將網路劃分為多個小區段,微分段能夠限制工作負載之間的存取權限,從而減少潛在的攻擊面,並有效防止攻擊者在系統內部的橫向移動。這種方法不僅提高了安全性,還能加強對資料流動的監控,為企業提供更細緻的安全控制。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
GSS資安電子報 0226 期【Forrester 在《Forrester Wave™:微分段解決方案,2024 年第 3 季版》中將 Illumio 評為領導者】
隨著數位轉型的快速推進,許多企業開始重新審視其安全策略,尤其是在混合雲和多雲環境中,如何有效保護資料和工作負載成為了首要挑戰。而在這個新時代,微分段(Microsegmentation)技術無疑是實現零信任的關鍵支柱之一。

  在全球零信任技術中,Illumio 作為微分段領導品牌,不僅具備豐富的技術實力,其創新的 Zero Trust Segmentation(ZTS)平台更是幫助企業大幅提升網路安全。正因為這些優勢,Forrester 在其《Forrester Wave™:微分段解決方案,2024年第三季報告》中,將 Illumio 評為該領域的領導者。
Illumio:Zero Trust Network Security零信任網路微分段解決方案