Security

資安電子報

叡揚資訊 聲明
叡揚資訊 | 發布日期:2020年10月25日
近日有某些網站業者使用「GSS」圖樣作為標示,由於該文字與圖樣皆與本公司叡揚資訊(Galaxy Software Services)之英文縮寫註冊商標「 GSS 3 word 」(註冊號數:00029098 ) 相似度極高,易造成混淆,並致民眾誤信其為本公司所營運之服務網。
特此聲明,本公司係一在台灣營運之軟體服務公司,以提供企業軟體及服務為主,並未在台灣及國外招攬會員從事金融投資等相關活動,本公司所屬集團亦未設有數位分析服務網站,建請民眾謹慎小心,辨明是否為本公司服務。
如有任何疑慮,可上本公司官網 www.gss.com.tw 查詢,或請於上班時間(周一~周五AM9:00~PM18:00)洽詢,客服專線 02-2586-7890,客服信箱 service@gss.com.tw。
訂閱電子報
第 1 頁,共 28 頁
GSS 資安電子報 0239 期【您必須了解的 58 個生成式 AI 資料分析】
生成式人工智慧(Generative AI)已不再是小眾技術,它正在重塑各行各業、工作流程,甚至整個市場。然而,隨著採用率急速上升,也帶來了影響、風險與資安的新問題。我們整理了 2025 年關於生成式 AI 的統計資料。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0239 期【行動應用防護使用 MDM、MTD 仍不足?CISO 不能遺漏的 MAV 主動策略 】
在保護行動生態系統時,並不是單純地將應用程式標示為「好」或「壞」。真正的關鍵在於基於風險做出正確決策。即使某款應用程式被廣泛採用,也不代表它在 COBO(公司擁有、員工使用)環境中就是安全的。
 
你已經嚴格控管終端設備、強化網路防禦,並制定嚴謹的行動安全政策。但為何行動威脅依然能突破重圍?如果你是 CISO,你擁有防火牆、EDR、MDM、零信任政策等完整的資安策略。你的企業甚至可能採用 COBO(公司擁有、僅供商業用途)環境,全面掌控員工使用的裝置、網路與應用程式。

那還有什麼需要被保護?
Quokka(Kryptowire)App 黑箱檢測
GSS 資安電子報 0238 期【s1ngularity 供應鏈攻擊事件:對雲端與 AI 安全的意涵 】
2025 年 8 月 26 日,開源生態系受到新的供應鏈攻擊衝擊,目標鎖定了 Nx,這一個被數千名開發者使用的熱門建構系統。攻擊者將惡意套件版本發佈到 npm,在背後悄悄竊取開發者的敏感資產。

製造業是全球供應鏈的支柱,一旦遭受網路攻擊而使營運中斷,即便只有短暫停擺,也可能引發巨大連鎖效應。生產延誤、出貨延遲及服務中斷會迅速波及其他產業。更令人擔憂的是,這種依賴性在事件發生前往往難以察覺,就像 COVID-19 疫情這類事件,突然爆發,才揭露出系統的脆弱性與高度相互關聯性。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS 資安電子報 0238 期【一環失守,全鏈陷入風險:製造業供應鏈重要性頗析及戰略因應】
在 2025 年的《 State of the Underground 》報告中,Bitsight TRACE 指出製造業已連續三年成為最主要的攻擊目標,佔可追溯產業的 4,853 起網路攻擊事件中的 22%。

製造業是全球供應鏈的支柱,一旦遭受網路攻擊而使營運中斷,即便只有短暫停擺,也可能引發巨大連鎖效應。生產延誤、出貨延遲及服務中斷會迅速波及其他產業。更令人擔憂的是,這種依賴性在事件發生前往往難以察覺,就像 COVID-19 疫情這類事件,突然爆發,才揭露出系統的脆弱性與高度相互關聯性。
GSS 資安電子報 0237 期【2026 年最新趨勢《AI 時代的應用程式安全未來》 】
對於一個長期習慣快速變革的產業來說,2025 年可能將被記為真正改變遊戲規則的一年。根據 《2026 應用程式安全的未來趨勢》(The Future of Application Security Report),這項由 Censuswide 代表 Checkmarx 進行的全球研究顯示,應用程式開發已進入新階段,AI 現在編寫了大部分甚至幾乎所有程式碼。然而,安全實務仍停留在過時假設中,讓未受控的 AI 生成程式碼以前所未有的速度進入生產環境。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0237 期【NPM 生態系統受攻擊:自我傳播惡意程式入侵 187 套件,引發重大供應鏈事件 】
NPM 生態系統近期遭遇迄今為止規模最大的供應鏈攻擊之一,超過 187 個熱門套件被先進惡意軟體入侵,該惡意軟體具備 自我傳播能力 並能自動蒐集憑證。受影響套件每週下載量龐大,包括 angulartics2、ngx-toastr、@ctrl/tinycolor 等。此次攻擊顯示網路犯罪者正進化攻擊手法,開發出類似「蠕蟲」的惡意程式,可自動在軟體供應鏈中擴散。本文將對攻擊方法、惡意載荷技術能力,以及此次前所未有供應鏈入侵的 IOC 進行完整分析。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0237 期【金融機構必知!3 大關鍵掌握亞洲市場行動銀行 App 的安全與合規】
行動銀行 APP 由於低使用門檻與高度便利性在亞洲快速普及,但也同時引發詐騙案件增加,以及政府強化監管的挑戰。本文將講解保護消費者的區域性安全框架與監管規範。
Quokka(Kryptowire)App 黑箱檢測
GSS 資安電子報 0237 期【從理論到實踐:零信任創始者談常被忽略的零信任核心原則】
早期的網路架構設計,防火牆通常透過介面來劃分「信任等級」。只要流量是從「可信任 (trusted)」網段進入「不可信任 (untrusted)」網段,往往不需要額外的存取規則即可通行。

身為滲透測試員的 John,非常清楚這樣的設計存在極大的風險。然而,當他提出質疑時,不僅遭到客戶的反對,連他所在的公司與防火牆廠商也都對他有所批評。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
GSS 資安電子報 0236 期【AWS 架構師指南:使用 Optimizer Hub 提升 Java 效能 】
若您曾聽過 Azul Optimizer Hub,一個提供Java最佳化的快取,可以更快、更經濟地滿足 JVM 所需的最佳化需求,那是否也曾想過如何在 AWS 架構裡能怎麼發揮作用。對 AWS 架構師來說,在容器化與雲原生環境中執行 Java 工作負載的效能問題並不陌生,特別是 JIT 編譯造成的啟動延遲和額外資源消耗。Optimizer Hub 是一個 Kubernetes 原生的解決方案,能在 Amazon EKS 上執行,並徹底翻轉現有狀況,讓應用程式從第一筆請求開始就能達到最佳化效能。本文提供範例架構,帶您了解,該如何在 AWS 環境中整合這項顛覆性的技術。
azul安全高效Java JDK
GSS 資安電子報 0236 期【鎖定 VPN 的最新攻擊手法與漏洞利用趨勢!從 CEV 到 DEV 的管理】
SonicWall SMA100 系列設備近期被曝出多項新漏洞,已引起資安專業人員高度關注。雖然 SonicWall 已針對 CVE-2025-40596 至 CVE-2025-40599 發布修補程式,且媒體報導指出 Akira 勒索病毒攻擊正大幅增加,鎖定 SonicWall SSL VPN 基礎架構,雖然美國 CISA 目前尚未正式確認 Akira 是否已利用這些特定漏洞進行攻擊。但這些漏洞之所以令人擔憂,是因為它們可能讓攻擊者可遠端執行惡意程式碼,進而完全控制系統。