Security

資安電子報

叡揚資訊 聲明
叡揚資訊 | 發布日期:2020年10月25日
近日有某些網站業者使用「GSS」圖樣作為標示,由於該文字與圖樣皆與本公司叡揚資訊(Galaxy Software Services)之英文縮寫註冊商標「 GSS 3 word 」(註冊號數:00029098 ) 相似度極高,易造成混淆,並致民眾誤信其為本公司所營運之服務網。
特此聲明,本公司係一在台灣營運之軟體服務公司,以提供企業軟體及服務為主,並未在台灣及國外招攬會員從事金融投資等相關活動,本公司所屬集團亦未設有數位分析服務網站,建請民眾謹慎小心,辨明是否為本公司服務。
如有任何疑慮,可上本公司官網 www.gss.com.tw 查詢,或請於上班時間(周一~周五AM9:00~PM18:00)洽詢,客服專線 02-2586-7890,客服信箱 service@gss.com.tw。
訂閱電子報
第 1 頁,共 25 頁
GSS 資安電子報 0244 期【LiteLLM 供應鏈攻擊事件:惡意套件竊取敏感憑證 】
近期揭露一項嚴重的資安事件(尚未取得正式 CVE 編號,但已被視為高風險的供應鏈攻擊),波及廣泛使用的 Python 套件 LiteLLM(PyPI)。攻擊者隸屬於 TeamPCP 威脅組織,透過發布遭惡意植入的 LiteLLM 1.82.7 與 1.82.8 版本,對套件進行木馬化。一旦使用者安裝或載入這些版本,攻擊者便可竊取敏感憑證並植入後門機制。由於此事件可能引發大規模憑證外洩及長期未授權存取風險,建議企業立即啟動應變與防護措施。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS 資安電子報 0244 期【Axios 官方套件遭供應鏈攻擊,RAT 惡意程式入侵開發環境】
在 2026 年 3 月 31 日,攻擊者入侵了 axios npm 套件主要維護者的帳號,並發布了兩個惡意版本。這些版本會在 macOS、Windows 及 Linux 系統上靜默安裝跨平台的遠端存取木馬 (RAT)。Axios 是目前最廣泛使用的 JavaScript 函式庫之一,每週下載量高達約 1 億次,且有超過 17.4 萬個套件依賴它。雖然這兩個帶毒的版本 (Poisoned versions) 上線時間不到三小時,但在這段期間內執行 npm install 的任何專案,都已被植入後門。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS 資安電子報 0243 期【從漏洞到防線:揭開 2025 雲端資安隱患,建立 2026 防禦策略】
Orca Research Pod 團隊一整年深入調查雲端資安現況,掃描了數十億個雲端資產,分析了數十萬個程式碼儲存庫,他們揭露了相當關鍵的發現。

他們正式公開研究結果,揭示五個 2025 年雲端基礎架構中最嚴重、卻往往被忽略的資安風險。這些風險幾乎在每一家組織中都反覆出現,也是企業在迎接新的一年前,必須先行理解與正視的關鍵議題。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS 資安電子報 0243 期【針對歐盟 CRA 培養「Secure by Design」的能力】
歐盟《2024 年網路韌性法案》(Cyber Resilience Act,簡稱 CRA)是一項新法規,針對在歐盟市場銷售、具備數位元件的大多數產品,訂定強制性的資安要求。CRA 旨在提升此類產品的整體資安標準,並要求製造商、進口商、經銷商及零售商,必須確保產品在整個生命週期中的網路安全。Secure Code Warrior 透過與 CRA 要求接軌的 Quests 以及概念式學習模組,協助企業強化 CRA 合規準備,幫助開發團隊建立符合 CRA 安全開發原則的「Secure by Design」思維、落實安全軟體開發生命週期(SDLC)實務,並提升安全程式碼撰寫能力。
資訊安全線上課程平台:Secure Code Warrior 安全程式培訓平台安全程式培訓平台
GSS 資安電子報 0243 期【雲端安全與合規並行,CDR 幫助您符合 GDPR、HIPAA、PCI DSS、DORA 法規要求 】
2018 年底,飯店巨頭萬豪國際(Marriott International)揭露了一起大規模資料外洩事件,影響多達 5 億名住客的個人資訊。這起外洩事件多年來一直未被發現,其源頭是一個客房訂位系統的漏洞。

讓這起事件更雪上加霜的是合規後續影響。除了失去顧客與投資者的信任,萬豪國際最終因違反歐盟《通用資料保護條例》(GDPR)被罰款 1,840 萬英鎊,並與美國 50 個州的檢察長達成高達 5,200 萬美元的和解協議。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
GSS 資安電子報 0242 期【從漏洞偵測到修補優化:Claude 引領 AI 安全新時代】
Claude Code Security 的推出,對整個產業都是一則好消息。並不是因為它取代了傳統的應用程式安全。也不是因為它讓 AI 生成的程式碼一夕之間變得安全。而是因為它驗證了一件許多資安領導者早已明白的事實:AI 編寫程式碼帶來新的風險,而這些應用程式安全風險也需要以原生的、具代理能力(agentic)的AI 因應。

在這個越來越多程式碼由 AI 助理撰寫的時代,安全不能再是提交(commit)之後才外掛補上的流程。如果漏洞是在 AI 編碼階段之後才被發現,往往已經太遲。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0242 期【案例解析:透過 Claude Opus 4.6 獵捕零日漏洞】
AI 真的能找到 Zero-Day 漏洞嗎?一個 AI 模型能夠自主找出真實、此前從未公開、存在於正式環境軟體中的安全漏洞。這聽起來是劃時代的突破,「它 真的那麼厲害?」在 Anthropic 發布 Claude Opus 4.6 並展示其發現 zero-day 漏洞能力時,這正是外界的第一反應。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0242 期【 當 AI 驅動資安:Claude Code Security 開啟 AppSec 新篇章 】
Anthropic 推出 Claude Code Security,確實令人振奮。這並不是因為它在一夜之間改變了一切,而是因為它確認了一個重要趨勢:將 AI 驅動的資安能力嵌入開發者工作流程,正逐漸成為新的常態。

Claude Code Security 將 AI 驅動的回饋直接帶入 Pull Request 與 IDE 之中。它能閱讀程式碼、以自然語言說明潛在漏洞,並在開發者實際工作的場景中提出修補建議。這一點意義重大。多年來,資安往往是開發者需要「交接」或「等待」的環節。如今,智慧化回饋能在即時、具脈絡、甚至對話式的情境中發生。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0241 期【OWASP Top 10 2025 的演變:從「修補漏洞」邁向「架構韌性」的轉型之路】
2025 年 11 月,資安界的黃金標準國際開放網路應用安全專案(OWASP)正式發布了最新版的 OWASP Top 10: 2025 Release Candidate。這份每隔數年更新一次的文件,不僅是開發人員的技術指南,更是企業決策者評估風險的戰略地圖。

在雲端原生、微服務(Microservices)與生成式 AI 爆發的今天,2025 年的版本釋出了一個強烈信號:資安的戰場已經從「單點漏洞的修補」,轉向「整體架構的韌性設計」。這不僅僅是排序的更迭,更是一次防禦思維的範式轉移。
GSS 資安電子報 0241 期【最新 OWASP Top 10 2025 全解析】
雖然 OWASP Top 10 中的漏洞有很大一部分是由「不安全的編碼」所造成,但安全的編碼能幫助我們降低被攻擊成功的機率。然而,世上並不存在一個絕對安全、永遠不會出錯的程式,系統仍可能因攻擊或例外狀況而發生問題。
GSS 資安電子報 0240 期【NPM 供應鏈攻擊變種回歸:Shai-Hulud 沙蟲 2.0 分析 】
近期發現一個經大幅進化名為 Sha1-Hulud 的惡意程式!目前受影響的套件超過 800 個。這次不只是偷憑證,還多了「長期後門」能力,能透過遭入侵的 GitHub Actions Runner 維持存取,並強化對各大雲環境憑證的擷取能力,會讓防守方以為清乾淨後,仍持續進得來。這次更新展現了供應鏈攻擊手法的明顯進化,使攻擊者即使被偵測到初始感染後,仍能長期控制開發者工作站與 CI/CD 環境。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0239 期【您必須了解的 58 個生成式 AI 資料分析】
生成式人工智慧(Generative AI)已不再是小眾技術,它正在重塑各行各業、工作流程,甚至整個市場。然而,隨著採用率急速上升,也帶來了影響、風險與資安的新問題。我們整理了 2025 年關於生成式 AI 的統計資料。
Mend.io (WhiteSource)Open Source 檢測