Security

資安電子報

叡揚資訊 聲明
叡揚資訊 | 發布日期:2020年10月25日
近日有某些網站業者使用「GSS」圖樣作為標示,由於該文字與圖樣皆與本公司叡揚資訊(Galaxy Software Services)之英文縮寫註冊商標「 GSS 3 word 」(註冊號數:00029098 ) 相似度極高,易造成混淆,並致民眾誤信其為本公司所營運之服務網。
特此聲明,本公司係一在台灣營運之軟體服務公司,以提供企業軟體及服務為主,並未在台灣及國外招攬會員從事金融投資等相關活動,本公司所屬集團亦未設有數位分析服務網站,建請民眾謹慎小心,辨明是否為本公司服務。
如有任何疑慮,可上本公司官網 www.gss.com.tw 查詢,或請於上班時間(周一~周五AM9:00~PM18:00)洽詢,客服專線 02-2586-7890,客服信箱 service@gss.com.tw。
訂閱電子報
第 1 頁,共 28 頁
GSS 資安電子報 0237 期【2026 年最新趨勢《AI 時代的應用程式安全未來》 】
對於一個長期習慣快速變革的產業來說,2025 年可能將被記為真正改變遊戲規則的一年。根據 《2026 應用程式安全的未來趨勢》(The Future of Application Security Report),這項由 Censuswide 代表 Checkmarx 進行的全球研究顯示,應用程式開發已進入新階段,AI 現在編寫了大部分甚至幾乎所有程式碼。然而,安全實務仍停留在過時假設中,讓未受控的 AI 生成程式碼以前所未有的速度進入生產環境。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0237 期【NPM 生態系統受攻擊:自我傳播惡意程式入侵 187 套件,引發重大供應鏈事件 】
NPM 生態系統近期遭遇迄今為止規模最大的供應鏈攻擊之一,超過 187 個熱門套件被先進惡意軟體入侵,該惡意軟體具備 自我傳播能力 並能自動蒐集憑證。受影響套件每週下載量龐大,包括 angulartics2、ngx-toastr、@ctrl/tinycolor 等。此次攻擊顯示網路犯罪者正進化攻擊手法,開發出類似「蠕蟲」的惡意程式,可自動在軟體供應鏈中擴散。本文將對攻擊方法、惡意載荷技術能力,以及此次前所未有供應鏈入侵的 IOC 進行完整分析。
Mend.io (WhiteSource)Open Source 檢測
GSS 資安電子報 0237 期【金融機構必知!3 大關鍵掌握亞洲市場行動銀行 App 的安全與合規】
行動銀行 APP 由於低使用門檻與高度便利性在亞洲快速普及,但也同時引發詐騙案件增加,以及政府強化監管的挑戰。本文將講解保護消費者的區域性安全框架與監管規範。
Quokka(Kryptowire)App 黑箱檢測
GSS 資安電子報 0237 期【從理論到實踐:零信任創始者談常被忽略的零信任核心原則】
早期的網路架構設計,防火牆通常透過介面來劃分「信任等級」。只要流量是從「可信任 (trusted)」網段進入「不可信任 (untrusted)」網段,往往不需要額外的存取規則即可通行。

身為滲透測試員的 John,非常清楚這樣的設計存在極大的風險。然而,當他提出質疑時,不僅遭到客戶的反對,連他所在的公司與防火牆廠商也都對他有所批評。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
GSS 資安電子報 0236 期【AWS 架構師指南:使用 Optimizer Hub 提升 Java 效能 】
若您曾聽過 Azul Optimizer Hub,一個提供Java最佳化的快取,可以更快、更經濟地滿足 JVM 所需的最佳化需求,那是否也曾想過如何在 AWS 架構裡能怎麼發揮作用。對 AWS 架構師來說,在容器化與雲原生環境中執行 Java 工作負載的效能問題並不陌生,特別是 JIT 編譯造成的啟動延遲和額外資源消耗。Optimizer Hub 是一個 Kubernetes 原生的解決方案,能在 Amazon EKS 上執行,並徹底翻轉現有狀況,讓應用程式從第一筆請求開始就能達到最佳化效能。本文提供範例架構,帶您了解,該如何在 AWS 環境中整合這項顛覆性的技術。
azul安全高效Java JDK
GSS 資安電子報 0236 期【鎖定 VPN 的最新攻擊手法與漏洞利用趨勢!從 CEV 到 DEV 的管理】
SonicWall SMA100 系列設備近期被曝出多項新漏洞,已引起資安專業人員高度關注。雖然 SonicWall 已針對 CVE-2025-40596 至 CVE-2025-40599 發布修補程式,且媒體報導指出 Akira 勒索病毒攻擊正大幅增加,鎖定 SonicWall SSL VPN 基礎架構,雖然美國 CISA 目前尚未正式確認 Akira 是否已利用這些特定漏洞進行攻擊。但這些漏洞之所以令人擔憂,是因為它們可能讓攻擊者可遠端執行惡意程式碼,進而完全控制系統。
GSS 資安電子報 0235 期【從 SAST 到全方位防護:現代應用程式安全的雲端進化】
軟體開發已經歷了劇烈的演變。從一開始單純的單體式程式碼庫,轉變為如今由自訂程式碼、開源套件、API、容器與雲端基礎架構交織而成的複雜組合。現代開發團隊管理的是一整個生態系,而不只是幾行程式碼。

同樣地,交付方式也發生了重大轉變。過去是瀑布式流程,發布頻率低、節奏可預測;而現在則是持續交付的流水線,一天之內可能多次部署程式碼更新。隨著開發速度加快,資安再也無法當成開發流程尾端的最後一道關卡,否則將成為嚴重瓶頸。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
GSS 資安電子報 0235 期【當 AI 具備記憶,A2A 與 MCP 技術如何守住資安防線? 】
在過去的一年中,我們見證了大型語言模型(LLMs)使用方式的重大轉變,它們不再只是靜態的助理,而是逐漸演化為能夠保留並回憶資訊的記憶型智慧助理。其中最具潛力的技術之一,是 Anthropic 推出的 Model Context Protocol(MCP)。不過,採用類似情境感知機制的並不只有 Anthropic,像是 Google 的 A2A 協定與 Gemini,以及 OpenAI 和 Copilot,也都正朝同樣的方向發展。
Orca Security雲端原生應用程式防護平台 (CNAPP)
GSS 資安電子報 0234 期【APP 就像駭客眼中的無鎖大門?將「零信任」導入行動應用程式 】
過去十年來,企業紛紛重新定義資安策略,圍繞著一個核心原則「不輕信,持續驗證」。零信任(Zero Trust)模型已成為保護使用者、網路與系統的黃金標準,市場規模預計將從 2024 年的 365 億美元成長到 2029 年的 787 億美元。

不過,有個關鍵盲點「儘管零信任日益普及,多數企業卻忽略了當今最常被攻擊的威脅之一,消費者的行動應用程式(Mobile App)。」
GSS 資安電子報 0234 期【資安長的選擇題:勒索攻擊來襲,零信任與韌性如何決策? 】
網路犯罪不僅是一種技術威脅,它是一門蓬勃發展的全球性生意。很少有人比布萊恩・博提格(Brian Boetig)更理解這個「商業模式」的演變過程。在本篇文章中,布萊恩分享了他如何運用執法與情報經驗影響他今日的資安觀點,他也深入解析了,為何威脅行為者能夠搶占先機,而企業往往因應不足而處於劣勢。
Illumio:Zero Trust Network Security零信任網路微分段解決方案