你的程式碼裡,
有多少加密資產還沒盤點?
AegisCode 在 CI 內自動產出程式碼層 CBOM,配合七大掃描能力與簽章證據,讓金融機構在金管會 2026–2027 準備期內,交出可稽核的盤點證據。
準備期第一項任務即建立加密資產清冊(CBOM),指引明文鼓勵以 AI 自動化盤點——合規時程已經開始倒數。
RSA、MD5、硬編 IV、短金鑰與後量子遷移風險全部進入同一份可審核證據鏈。HNDL(先竊取、待量子破解)讓今天加密的資料未來被解密——遷移不能等 2035。
兩條產品線,一個治理閉環
從內部程式碼到外部攻擊面,AegisCode 讓 CISO 一份報告交代兩面風險。
內部程式碼資安治理
以 CBOM/PQC 加密資產盤點對接金管會後量子遷移,再串起 SAST、DAST、SBOM/SCA 與 F-ISAC 自評,構成內部程式碼治理的完整閉環。對象是研發團隊、資安 BU 與集團 CISO。
- SAST + DAST 完整掃描閉環
- CBOM / PQC 加密資產盤點
- SBOM / SCA + Container / IaC / Secrets
- F-ISAC 7 主題成熟度自評
- 稽核軌跡 / SAML SSO + 集團 CISO 視圖
- 繁中合規證據包 + 主管審核留痕
外部攻擊面治理
把外部評分、供應商風險、修補優先順序、台灣法規對應與顧問月報整合成 CISO 每月可向董事會交代的治理視圖。對象是 CISO、稽核與管理層。
- 外部評分整合 + 供應商風險彙整
- AI 修補建議 P0–P3 + 工時 / ROI 試算
- 台灣法規對應(資安法 / 個資法 / ISO 27001)
- 每週差異追蹤 + 修補任務追蹤
- 顧問級 CISO 月報(董事會可呈交)
- 季度治理檢討 + 每月顧問解讀會議
為什麼需要 AegisCode?
用可查證來源說明程式碼治理風險
商用程式碼存在開源套件漏洞
81% 含高風險或重大風險弱點
Source: Black Duck 2025 OSSRA Report
平均資料外洩事件成本
全球平均資料外洩成本創新高
Source: IBM Cost of a Data Breach Report 2024
AI 助手使用者產出較不安全程式碼
且更傾向相信自己的程式碼是安全的
Source: Perry et al., ACM CCS 2023
高法遵組織常見的程式碼治理痛點
核心功能
七大掃描:SAST · SCA · DAST · IaC · Secrets · 容器 · CBOM(含 PQC)。再加 AI 修補工作流、F-ISAC 自評與集團 CISO 視圖。
SAST 掃描與品質閘門
支援 ZIP / Git 掃描、深度 SAST 分析、Quality Gate 與 BU 權限控管,讓上線前風險有一致標準。
CBOM / PQC 加密資產盤點
盤點演算法、金鑰長度、IV、TLS 與 PQC 遷移風險,提供 portfolio、明細、生命週期決策與證據包。
原生 SBOM / SCA
解析 npm / pip / Maven / Go 依賴並輸出 CycloneDX 標準,補齊委外與供應鏈安全盤點。
AI-BOM AI 元件清冊
盤點模型 API、AI SDK/框架、向量資料庫、MCP server 與 agent 設定檔,標記資料出境風險——與 SBOM、CBOM 並列的第三張清冊。
Container / IaC / Secrets 掃描
容器映像、Terraform / K8s / CloudFormation 設定漂移、硬編碼金鑰三面向並行盤點,補齊 SAST / SBOM 之外的供應鏈與設定面風險。
DAST 動態掃描
黑盒動態掃描補強 SAST 看不到的 runtime 風險(authn / session / injection / headers),與 SAST / CBOM / SBOM findings 同框追蹤。
SAST-in-the-Loop AI 修補工作流
把 SAST findings 轉成可審查、可修復、可追蹤的 AI review 工作流,繁中修復建議與主管可審核紀錄一次到位。
Executive Action Queue
管理儀表板彙整失敗掃描、待審核專案與高風險 CBOM finding,主管一進站就知道先處理什麼。
Multi-dim Quality Gate
依 BU、嚴重度與風險門檻建立政策,讓開發、資安、主管審核使用同一套決策邏輯。
F-ISAC 7 主題成熟度自評
對應治理 / 風險 / 合規 / 開發安全 / 資料保護 / 監控應變 / 第三方七主題,0-5 評分換算 L1-L5 並輸出雷達圖。
稽核軌跡 / Audit Log
Append-only audit log、登入失敗鎖定、季度 access review 自動產出,可作為客戶自身 ISO 27001 / SOC 2 稽核的佐證資料(findings 對應,非本平台已取得認證)。
SAML 2.0 SSO + JIT
對接主流 SAML 2.0 IdP,JIT provisioning 自動建立帳號與 BU 權限,無須 IT 預先建檔;登入軌跡併入 audit log。
地端部署安全與授權控管
地端/私有雲部署,首次啟用強制更換預設管理員密碼;授權與環境綁定機制確保白標與離線場景下的合規控管。
GitHub App / JIRA / Slack 整合
GitHub App 自動 PR 留言 + status check;JIRA / Azure DevOps 雙向同步;Slack / Teams 出站通知。
多 BU + 集團 CISO 視圖
三級權限(管理員 / BU 主管 / 使用者)+ 審核工作流;母公司 CISO 跨子公司彙整 Critical 漏洞與 SLA 風險。
三語介面(中 / 英 / 日)
一鍵切換,White-Label 品牌支援,適合跨國企業與 SI 合作夥伴轉售。
不是簡報概念,已經有可展示、可驗證、可交付的產品證據。
AegisCode 的對外訊息現在直接連到客戶可檢查的產品證據:CBOM/PQC portfolio、Evidence Pack、研究基礎與 Enterprise POC 交付控管。
CBOM/PQC Portfolio
以匿名化金融情境快速產出加密資產、PQC 遷移風險與主管摘要。
Evidence Pack
CBOM 報告、風險摘要與審核紀錄可作為主管簡報與稽核附件。
Peer-reviewed Research
Zero-Touch Vulnerability Remediation framework 已於 MDPI Mathematics 發表,DOI: 10.3390/math14061072。
Enterprise Delivery Guard
POC 與客戶環境採用明確的啟用條件、權限控管與交付檢查,確保評估範圍與正式導入邊界清楚分離。
對外 POC 建議主軸:先用 CBOM/PQC 盤點切入金融合規,再用 SAST 與 Quality Gate 擴大到 SDLC 治理。
AegisCode Surface — 從程式碼治理,延伸到外部曝險與供應商風險。
AegisCode 不需要取代既有外部評分平台。更好的打法,是把外部安全評分、供應商 domain 與 AegisCode 的 SAST、SBOM、CBOM 證據整合,形成高法遵組織可以審核、可以追蹤、可以交付的治理視圖。Surface 負責把這些證據彙整成外部治理視圖,實際掃描與攔截仍由 build-time 的 AegisCode 完成。
外部曝險評分
可搭配主流外部攻擊面評分或客戶既有 EASM 訊號,補齊外部可觀測風險。
供應商 / BU 對應
把 domain、供應商、BU、系統與 repo 綁定,讓第三方風險不再只停在採購表單。
主管證據包
把 SAST、SBOM、CBOM 與外部評分放進同一份治理摘要,方便稽核與董事會溝通。
Executive Risk View
AegisCode Governance Pack
對外只呈現治理成果、交付範圍與導入條件;正式整合方式、資料留存與服務邊界會在 Enterprise POC 與合約階段確認。
把技術修補 ↔ 管理層看得懂的法規條目對齊。
AegisCode 內建中文化法規對應,讓資安修補與加密盤點的每一步都能直接連到法規責任,適合金融、政府與高法遵組織的稽核情境。以上為協助客戶把修補與盤點證據對應到各自法規/ISMS 控制項,非 AegisCode 自身之認證主張。
資通安全管理法
資安事件、弱點掃描、改善追蹤
- 資安事件分級與通報窗口
- 弱點掃描與修補時效要求
- 資安治理組織與責任歸屬
- 稽核紀錄保存與審查週期
個人資料保護法
個資處理、技術保護、外洩通報
- 個資處理目的與最小化原則
- 技術與組織保護措施
- 外洩通報與當事人告知
- 委外處理與第三方治理
ISO 27001:2022
資訊安全管理系統 (ISMS)
- A.5 組織控制 — 治理結構與責任
- A.6 人員控制 — 安全意識訓練
- A.8 技術控制 — 弱點管理與密碼學
- A.5.23 雲端服務與第三方風險
金融業後量子密碼遷移參考指引
金管會 2026/6/18 發布 · 準備期 2026–2027
- 密碼技術清冊 CBOM 盤點(AI 自動化輔助)
- 加密敏捷性與密碼反模式清除
- 風險導向遷移優先序評估
- 供應鏈 SBOM 與可離線驗證證據鏈
歐盟網路韌性法案 CRA
出口歐盟適用 · 通報義務 2026/9/11 生效
- 機器可讀 SBOM(CycloneDX / SPDX)
- 已知被利用漏洞情資 — 對應 24 / 72 小時通報觸發
- 漏洞處理與修補紀錄佐證(簽章證據包)
- VEX 可利用性聲明(OpenVEX)— 本季推出
完整法規對應一覽表可在資源中心下載。
從「未來趨勢」變成「現行法規」——準備期的第一項任務,就是 AegisCode 的核心引擎。
指引明訂準備期 2026–2027 應建立可維護的密碼技術清冊(CBOM),並鼓勵以 AI 等自動化工具輔助盤點——人工 Excel 難以建立與滾動維護。HNDL(先竊取、待量子破解)讓今天加密的金融資料未來被解密,遷移不能等 2035。下表是指引七大策略對應 AegisCode 的已出貨能力。
七大策略中 5 項直接命中 為 AegisCode 已出貨能力, 2 項工具輔助。CBOM 清冊可匯出 JSON/Excel,並併入簽章證據包供稽核離線驗證。
AI 程式碼健檢與 SAST-in-the-Loop 審查
AI 助手可能被 prompt injection 操縱、或無意引入不安全模式。AegisCode 整合 SAST findings 與 LLM 上下文審查,在 build-time 對這些生成程式碼做二次安全檢查,把風險擋在合併前——繁中工作流的健檢與修復建議一次到位。
七個審查面向
不只標記問題,也留下可審核證據
核心定位是「繁中治理工作流」與「主管可審核的稽核紀錄」, 避免與通用 AI code review 工具做不可防守的唯一性宣稱。
AI 正在變成新的攻擊面 —— 在 build 就攔下
2026 上半年,攻擊者把 AI 拉進供應鏈:prompt injection 操縱 AI 助手、冒充的 MCP server、被濫用的本機 AI CLI。2025 年 9 月的 postmark-mcp 事件就是縮影——一個冒名套件養信任 15 個版本,再用一行程式碼把郵件偷偷外洩。AegisCode 的定位很單純:在 build-time、合併之前,把這條新興供應鏈風險納入同一份證據鏈。
AI 生成程式碼二次安全檢查
對 AI 助手 / Copilot 生成的程式碼做注入與不安全模式的二次審查,接上 SAST-in-the-Loop 工作流,把被污染或不安全的產物擋在合併前。
AI-BOM AI 元件清冊
自動盤點 repo 內的 AI 元件——對外模型 API、SDK/框架、向量資料庫、MCP server、agent 設定檔與本地模型權重——標記資料出境與未鎖版本風險,可匯出 CycloneDX 1.6 並隨簽章證據包交付。
AI / MCP 設定衛生盤點
掃描 repo 與 CI 內的 AI 工具與 MCP 設定檔,盤點來源信任邊界與最小權限,把散落、沒人管的 AI 設定納入同一份治理視圖。
MCP 來源驗證 · 冒名 server 偵測
針對 postmark-mcp 這類冒名/投毒的 MCP server 做來源驗證與 known-bad 比對,於導入時把第三方 MCP 納入 TPRM 流程。
AegisCode 只做 build-time 的「找出並擋下」。runtime 的機器身分發證、驗證與撤銷,屬姊妹方案 AegisAgent 的範圍——邊界清楚,不混淆。
把 AI 攻擊面納入 POC 評估從掃描到稽核交付的治理工作流
將開發端 findings、修復建議與主管證據包收斂在同一個流程
匯入
連接 Git 專案或上傳程式碼
掃描
七大掃描 + AI 上下文審查
彙整
產出 findings、CBOM 與證據包
修復
提供繁中修復建議與簽核流程
交付
交付主管可審核的稽核紀錄
雙產品研發與交付里程碑
從 CBOM/PQC 核心到金融情境 POC 與正式版,透明呈現產品成熟軌跡與交付能力。
研發啟動
完成治理工作流與金融合規需求盤點
CBOM/PQC 核心引擎完成
加密資產盤點、生命週期決策與證據輸出
SAST-in-the-Loop 整合釋出
串接 SAST findings、AI review 與主管審核紀錄
首批 POC 開放申請
30 天金融情境 POC,聚焦 CBOM 與合規證據包
正式版上線
Enterprise 合約、SSO、DPA 與採購建檔資料完備
Surface 商業版 v0.1 釋出
外部評分整合、AI 修補建議、台灣法規對應、CISO 月報、年度顧問訂閱開放申請。
常見問題
Frequently Asked Questions
金管會準備期已開跑 —— 先做一次 PQC / CBOM Readiness 評估
Code 走 30 天 POC,Surface 走顧問諮詢。選擇你要先看的那條,或兩條一起評估。
或者直接 email sales@aegiscode.com 聯絡顧問
AegisCode 是 Yilutek Security Suite 的程式碼與攻擊面治理產品線