Whitepaper

白皮書

第 1 頁,共 2 頁
不可容忍的安全漏洞:ICS 與 OT 暴露
根據 Bitsight 最新的研究報告顯示,經過多年改善之後,工業控制系統(ICS)與操作技術(OT)目前正面臨暴露於公共網際網路的風險再度上升。全球 ICS/OT 的暴露情形在 2024 年增加了 12%,每月獨立 IP 數量超過 18 萬筆,並預估在 2025 年將朝 20 萬筆邁進。

這些系統掌管著能源、水資源與建築自動化等關鍵基礎設施,卻往往在缺乏足夠安全防護的情況下暴露於外部環境,甚至存在已知可被利用的漏洞。由於此類問題對公共安全、營運持續性與國家安全均有實質影響,報告呼籲網際網路服務供應商(ISP)、製造商、系統整合商及政策制定者應立即協同合作,採取行動以降低風險並強化防護。
2025 年應用程式安全威脅報告
2025 年 1 月,應用程式攻擊率飆升至83%,高於2024 年的 65%。隨著應用程式開發的加速,安全團隊面臨著巨大的壓力。然而,大多數網路安全工具專注於保護內部資產,導致行動、Web 和桌面應用程式暴露在企業防火牆之外,面臨日益增長的風險。

我們的2025 年應用安全威脅報告揭示了推動這一激增的關鍵因素,包括人工智慧輔助惡意軟體、攻擊盈利能力的上升以及攻擊的民主化。
Arxan - GuardIT程式碼保護
使用無支援 Java 的五大成本黑洞
付費的 Java 商業支援只有在發生意外事件時才有意義,而這些事件幾乎總是突發的、意料之外的,而且代價高昂。不過,只需一次機會,你就會後悔自己當初為 Java 付費了商業支援。在生產環境中執行不受支援的 Java 存在風險,讓我們來看看在生產環境中運行不受支援的 Java 的一些隱性成本。
azul安全高效Java JDK
2026 應用程式安全的未來趨勢
當速度超越安全,無人煞車時,會發生什麼事?各組織競相以前所未有的速度部署,而人工智慧、多雲架構和複雜的軟體鏈正在引發威脅。結果如何?安全漏洞日益擴大,任何政策都無法單靠自身力量彌補。

變革刻不容緩,但前進的道路卻不明朗。在這個關鍵時刻,我們訪問了全球 1,500 位應用程式安全領導者(首席資訊安全長、應用安全經理和開發主管),探討他們如何在人工智慧時代彌合攻防雙方之間日益擴大的差距。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
探索深網與暗網的 7 大策略指南
駭客攻擊活動的資訊蘊藏於深網與暗網中,這是一筆極具價值的寶藏。然而,對初學者來說,要運用這些資源來保護企業是一項挑戰。在本指南中,我們將介紹 Bitsight 分析師所採用的七大策略,幫助你更有效地研究深網與暗網,進而強化企業威脅情資分析並保護重要資產,穩固企業永續經營發展。
公有雲 AI 安全現況報告:揭開雲端 AI 風險背後的統計和見解
AI 應用正在突飛猛進。Gartner 預測 AI 軟體市場將每年成長 19.1%,在 2027 年更將達到 2,980 億美元。當今的 AI 熱潮,不禁令人回憶起十年前雲端運算的新興時期。

當時各界以創新速度為重,卻犧牲了資安。例子之一是 bucket 成功以雲端速度運轉,卻讓自身暴露於網際網路中,完全沒有考量到資安問題。轉眼至今,我們正在目睹歷史重演的預兆。許多 AI 服務的預設條件是廣泛存取和全面授權,卻因為一心一意提高傳送速度,而犧牲了資安。

然而,不同於十年前,如今我們已經更加充分準備,能確保新興 AI 技術和模型的
安全。達成這項目標的兩大關鍵在於意識和教育,這正是我們創辦並首次發表本報告的用意所在。
Orca Security雲端原生應用程式防護平台 (CNAPP)
雲端韌性教戰手冊:善用雲端網路微分段技術對抗、遏止且根絕資料外洩
雲端就是史上最大資料外洩事件之一的禍根。勒索軟體組織 Clop,於 2023 年 5 月攻擊檔案傳輸管理軟體 MOVEit,造成將近 3,000 家組織受到重創,逾 9,300 萬人的機敏資料全部外洩。

但這並非偶發的單一事件。目前需要正視全球「將近半數」的資料外洩事件源自雲端的事實。這些大規模又精密的雲端攻擊,突顯出嚴峻的現況:雲端環境正逐漸成為網路犯罪者的溫床。至於大多數組織倚賴的雲端安全工具呢?現實是,單單工具無法杜絕這些攻擊。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
應用程式安全指南:打造穩定安全的 App / Web 應用程式 (零漏洞、零攻擊)
行動應用程式已展現其主導地位。如今,全球行動電話數量已超越總人口數,並且應用程式在 2024 年將創造超過 9350 億美元的收入。更令人驚訝的是,僅在 2023 年就有多達 1482 億次行動、桌面和網頁應用程式的下載量。
Digital.ai Continuous TestingApp & Web 相容性功能驗測
安全採用生成式人工智慧(GenAI)於應用安全的7個步驟
根據 Gartner 的預測,到 2026 年,約 80% 的企業將使用生成式人工智慧(GenAI)應用程式介面(API)或模型。隨著AI提高了組織的生產力,它進一步促使了需求和採用的增長。因此,AI 工具正迅速被採用;然而,在許多情況下,這些工具的使用往往是非正式的或未經授權的影子 IT。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
用主動式 SBOM 管理來鞏固供應鏈安全
雖然企業會使用 SBOM 進行軟體盤點,用以分析、追蹤和掌握構成旗下軟體供應鏈的實際元件,但單單如此依然遠遠不足。使用 SBOM 進行軟體盤點以符合法規或業界要求,確實是相當不錯的起點。然而,合規性之外的無窮潛力或許更值得聚焦。追根究柢,將 SBOM 從資訊性資源轉變成可行動型商業工具,這才是真正的價值所在。
Mend.io (WhiteSource)Open Source 檢測
2024 年應用程式安全威脅報告
2024《應用程式安全威脅報告》以全球客戶數據為基礎,探討「防火牆外」應用程式的風險趨勢,重點強調遊戲和金融服務應用程式為首要攻擊目標。報告指出,由於 AI 技術的應用,威脅發動者的效率顯著提升,應用程式漏洞被快速探測與利用。數據顯示,2024 年應用程式在四週內遭受攻擊的可能性已增至 65 %。iOS 與 Android 平台均面臨攻擊激增的挑戰,而冷門應用程式反而比熱門應用程式更易受攻擊。報告還提供具體防護措施,包括代碼混淆、動態分析防禦和多重身份驗證,以應對不安全環境。
Digital.ai Continuous TestingApp & Web 相容性功能驗測
2024 年開源授權條款完全指南
在全球軟體開發的浪潮中,開源軟體的應用已經成為不可或缺的一部分。大量的開源程式碼與套件不僅推動了技術創新,也改變了企業與開發者的工作模式。然而,面對多樣且複雜的開源授權條款,許多人仍感到困惑,這對於法規遵循與專案管理而言是一項重大挑戰。

  本篇白皮書解析包括 MIT、Apache、GNU GPL 等在內的多種常見授權條款,並針對 Copyleft 與 Permissive 授權類型的發展趨勢提供專業見解。透過這份指引,讓您可以更加從容地應對開源授權相關議題,確保法規合規的同時,助力技術創新與開源社群的永續發展。
Mend.io (WhiteSource)Open Source 檢測
雲端安全狀況報告-揭曉潛伏在雲環境深處的秘密
  在雲端安全領域,雲端服務和雲原生技術日益普及,正在增加可能性及風險,目前大多數的企業使用多個雲端服務供應商,雲端環境變得比以往更加複雜。本報告分析 Orca 雲原生應用程式防護平台掃描的 AWS、Azure、Google Cloud、Oracle Cloud 和阿里雲上數十億雲端資產捕獲的資料而編寫的,利用對 Orca 雲原生應用程式防護平台捕獲的當前和新興雲端風險的獨特見解,揭示了最常見但最危險的雲端安全風險。
Orca Security雲端原生應用程式防護平台 (CNAPP)
Java 現況調查報告
當今有 82% 的企業使用 Java,對 Oracle 的第四次重大授權及定價政策變更表示擔憂,72% 的企業正在探索替代性的 Java 方案。《Java 現況調查報告》圍繞 Java 對大小企業的影響,收集了全球超過 2000 家企業的見解與觀點。
azul安全高效Java JDK
2024 應用系統安全的未來展望
  應用系統風險就是最直接的商業風險。隨著數位轉型將組織實體作業與人際互動轉移到線上,企業從未比現在還更依賴應用系統。當漏洞摻雜應用系統環境時,以目前的高度依賴程度來看,任何大小規模的企業都可能發生危機。本報告是第三次【年度應用系統安全的未來展望】調查,我們的調查橫跨美國、歐洲,以及亞太地區,共涵蓋 1504 位來自廣泛產業的資安長與 AppSec 管理者,揭示主要利害關係人面對相關挑戰的應對方式。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
深入探討 Illumio零信任微分段(ZTS)帶來的整體經濟效益
公司企業持續成長,且變得更加複雜。而由於應用程式與資料散佈在各式各樣的攻擊面上,傳統的邊界防護作法已力有未逮。Illumio 的「零信任微切分」(Zero Trust Segmentation)平台是一個簡單且可擴展的平台,幫助用戶在防堵入侵時,能夠視覺化及區隔。利用 Illumio ZTS,企業能有效阻止入侵及勒索軟體擴散,進而降低其對業務上造成的負面影響。本篇白皮書講述 Illumio 委託 Forrester 顧問公司進行整體經濟效益(Total Economic Impact™)研究,訪問了 6 位有 Illumio ZTS 使用經驗的代表,以更加瞭解這項投資的相關效應、成本與風險。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
資安長們的工作盤點指南
本篇白皮書來自 Orca Security CISO Andy Ellis 以過來人身份提供 CISO 的工作盤點指南,涵蓋應該考慮的各個方面,協助您把所有的事項處理的井然有序,各種流程得心應手,並提供在這段時間內建立安全計劃、建立聯繫以及任何重大變更的指導。不管您是目標或其將成為CISO、或是在此職務耕耘已久,相信這份指南都能協助您作為工作上的參考。
Orca Security雲端原生應用程式防護平台 (CNAPP)
深藏在細節中的魔鬼: SBOM 在保護軟體供應鏈中擔任要角
自從資訊安全研究人員在 2020 年 12 月發現攻擊者在 Solar Winds 應用程式的軟體更新中遭植入木馬程式事故後,這對於超過 18,000 家企業和政府機構而言,無非是在對於軟體供應鏈安全管理最粗暴,也是最重大的攻擊。儘管 Solar Winds 事故是迄今為止最巨大且最著名的軟體供應鏈攻擊,但遺憾的是,這並不是一個個別事件。事實上,軟體供應鏈攻擊已是企業需面臨到的普遍威脅,僅僅在過去的一年內,攻擊者就發動了近 7,000 次軟體供應鏈攻擊。不法分子不斷透過滲透、植入惡意程式攻擊的方式來竊取數據、損害目標受害組織系統並透過上、下游串連的特性,進入供應鏈網路的其他途徑攻擊。
Mend.io (WhiteSource)Open Source 檢測
加入打擊駭客行列!銀行與金融服務實踐零信任切分
銀行、投資公司、散戶經紀公司、借貸者、金融科技新創企業與其他金融服務機構,都是令網路犯罪份子垂涎三尺的「肥羊」。原因很簡單:那裡有錢可撈。

  隨著銀行與其他機構進行數位化轉型、引入新的雲端系統以及擴大與第三方產品與服務供應商的合作夥伴關係,網路攻擊的風險也不斷突破新高點。頻繁的併購活動、老舊 IT 與網路安全系統,再加上轉換為遠距工作的趨勢,也讓機構的資安防護千瘡百孔。

  這些科技與業務變化擴大了攻擊面,並對可見性帶來了新挑戰。交錯相連的複雜網路讓違規偵測與識別變得更加困難。若不幸發生入侵事件,銀行可能會面臨巨大的財務損失與負面聲譽,進而讓企業、一般客戶、商業合作夥伴、交易對手、投資人與監管機構的信心都跌落谷底。

  防範勒索軟體與其他類型的網路攻擊已不僅是資安問題,而是最高層級的企業韌性挑戰。本指南中,我們探討了銀行與其他金融服務業所必須面對的獨特資安挑戰。我們研究了零信任切分如何提供寶貴的防禦措施,在瞬息萬變的環境中堅守金融機構及其客戶。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
建立攻防最前線:零信任網路微切分的五大步驟
隨著環境不斷演進,所遭受的攻擊面也會逐漸擴大。如今,您面對的是混合式網路,許多其他裝置現在幾乎可在任何地點運作,因此,您無法繼續在此網路建構完美的安全邊界。駭侵已無法避免,您需要一種方法來防止惡意行為者在您的網路內來去自如。微切分則可解決這個問題,它藉由關閉系統間的通訊路徑,在內部建構安全的網路。若執行得當,微切分可阻止惡意行為者找到據點,染指您的高價值資產並造成重大損害。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
一篇搞懂零信任微切分,手把手從 0 教起!
零信任切分入門班 Illumio 將帶您了解網路防護韌性這個強大的概念。 文中解釋了為什麼所有的資安結構都應該包含強制的最小權限概念和零 信任,以及如何透過資訊和操作技術分隔來阻止惡意程式擴散。這能夠 幫助您了解攻擊面、降低攻擊帶來的衝擊、讓應用程式維持運作,還能 永遠比威脅棋高一著。您將會慶興地發現 ZTS 是一個很清晰且能穩健 實現的概念,執行非常簡單,運作起來也十分容易。
Illumio:Zero Trust Network Security零信任網路微分段解決方案
資安稽核下的開源防線:完整解析 Open Source 授權條款
Open Source 授權條款以及其效益,有助於了解這些授權條款的主要類別、不同的形式,以及各自的規範。Open Source 軟體授權條款的數量相當多,經常讓人 摸不著頭緒,一旦習得相關知識,您便能夠根據目標,明智選擇正確的軟體與條款。
Mend.io (WhiteSource)Open Source 檢測
拿回你的主控權!守護供應鏈安全,從建立SBOM開始
任何資安專家恐怕都永遠無法忘懷 2021 年 12 月 9 日的悲劇。就在這天,應用廣泛的 Log4j Java 日 誌 資 料 庫 中 揭 露 了 一 個 重 大 漏 洞: CVE-2021-44228,也被稱為 Log4Shell,是一個遠端執行漏洞,讓攻擊者能夠完全控制受影響的系統。在漏洞揭露當下,一起漏洞濫用事件也已 經被察覺,但這僅是風波的開端而已,更嚴重的問題隨即接踵而至。

    現代應用程式是由許多開源軟體組件、套件以及微服務所結合建構而成。追蹤 Log4j 下落的複雜程度,充分說明應用程式資安防護面臨的挑戰, 以及軟體物料清單(SBOM)是多麼地重要。 SBOM 在近年逐漸成為熱門議題。本電子書將 介紹 SBOM,說明為何我們需要 SBOM、SBOM 在應用程式資安中的作用,以及如何建立 SBOM。
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測
AWS 與 Checkmarx 共同對談:保護雲端開發維運
源碼檢測軟體Checkmarx:源碼安全檢測領導者源碼安全檢測