AegisCode Code · build-time CI 資安關卡

以 CBOM/PQC 為矛尖的內部程式碼安全治理SAST + 主管審核閉環

AegisCode Code 以 CBOM/PQC 加密資產盤點為矛尖,搭配 SAST 弱點掃描、AI 修補工作流與主管審核留痕。專為金融、政府與高法遵組織的繁中合規場景設計。

DOI 10.3390/math14061072
Peer-reviewed
Mathematics, MDPI
30 天
POC 期程
Code POC 已開放
123 規則
CBOM 加密盤點
深度涵蓋 9 種主流後端語言
對齊金管會 PQC 遷移指引(2026/6/18)

從「未來趨勢」變成「現行法規」——準備期的第一項任務,就是 AegisCode 的核心引擎。

指引明訂準備期 2026–2027 應建立可維護的密碼技術清冊(CBOM),並鼓勵以 AI 等自動化工具輔助盤點——人工 Excel 難以建立與滾動維護。HNDL(先竊取、待量子破解)讓今天加密的金融資料未來被解密,遷移不能等 2035。下表是指引七大策略對應 AegisCode 的已出貨能力。

① PQC 政策與治理
多 BU 治理視圖 + 加密風險儀表板
工具輔助
② 密碼技術清冊 CBOM 盤點
CBOM 引擎:123 規則 / 9 語言,對齊官方最小欄位,部署位置自動帶 file:line
直接命中
③ 提升加密敏捷性(清除密碼反模式)
偵測硬編碼金鑰、弱演算法、ECB、短金鑰、寫死 IV、不安全亂數、舊 TLS、前量子用法
直接命中
④ 生態系協作與遷移路線圖
跨專案 / BU 彙整與優先序呈現
工具輔助
⑤ 風險導向遷移優先序
量子風險 × 遷移時間評分,自動分級排序
直接命中
⑥ 供應鏈管理(SBOM)
SBOM / SCA 與第三方元件風險視圖
直接命中
⑦ 測試切換與營運韌性
簽章證據包 + 稽核雜湊鏈,可離線驗證真偽
直接命中

七大策略中 5 項直接命中 為 AegisCode 已出貨能力, 2 項工具輔助。CBOM 清冊可匯出 JSON/Excel,並併入簽章證據包供稽核離線驗證。

3 個典型客戶情境

不具名情境示意,僅代表常見企業類型。實際 POC 會依您的環境校準。

某金控 BU 評估 CBOM 法遵

痛點

加密資產散落在 Excel 與口耳相傳,稽核時無法即時提證

使用後

統一 CBOM portfolio + Evidence Pack,30 天 POC 即可呈交主管

某政府機關 air-gapped SAST 需求

痛點

外送黑盒掃描,結果延遲且不能離站

使用後

地端封閉部署,SAST + CBOM 報告直接在內網產出

某製造/IoT 廠多語言治理

痛點

依賴工具拼接,每個語言各管各的,主管審核斷裂

使用後

單一 Quality Gate 整合 20+ 種開發語言,主管審核留痕一致

核心能力

七大掃描:SAST · SCA · DAST · IaC · Secrets · 容器 · CBOM(含 PQC)。AI 程式碼健檢為另計差異化,不計入七大掃描。

CBOM / PQC 加密資產

盤點程式碼中的加密用法,對應金管會《後量子密碼遷移參考指引》(2026/6/18) 準備期的 CBOM 建置。指引明文鼓勵以 AI 自動化盤點——正是 AegisCode 的核心引擎。矛尖能力。

SAST 弱點掃描

覆蓋 20+ 種常見企業開發語言,弱點可直接進入主管審核工作流。

SAST-in-the-Loop AI 修補工作流

把 SAST findings 轉成可審查、可修復、可追蹤的 AI review 工作流。

SBOM / SCA

建立依賴清單與第三方元件風險視圖,支援採購與稽核情境。

AI-BOM AI 元件清冊

與 SBOM、CBOM 並列的第三張清冊:盤點模型 API、AI SDK/框架、向量資料庫、MCP server 與 agent 設定檔,標記資料出境風險,對應 AI 治理與資料主權盤點需求。

Container / IaC / Secrets 掃描

容器映像、Terraform / K8s / CloudFormation 設定漂移、硬編碼金鑰三面向並行盤點,補齊 SAST / SBOM 之外的供應鏈與設定面風險。

DAST 動態掃描

黑盒動態掃描補強 SAST 看不到的 runtime 風險(authn / session / injection / headers),POC 階段串接您的 staging 環境,問題與 SAST findings 同框追蹤。

Quality Gate + 主管審核

依 findings 嚴重度設計閘門規則,主管審核留痕完整,可作為金融合規證據。

GitHub App / JIRA / Slack 整合

GitHub App 自動 PR 留言 + status check;JIRA / Azure DevOps 雙向同步;Slack / Teams 出站通知可依嚴重度分流。

稽核軌跡 / Audit Log

append-only audit log、login lockout、季度 access review,可作為客戶自身 ISO 27001 / SOC 2 稽核的佐證資料(findings 對應,非本平台已取得認證)。

SAML 2.0 SSO + JIT

對接主流 SAML 2.0 IdP,Just-In-Time provisioning 自動建立帳號與對應 BU 權限,無須 IT 預先建檔;屬平台自身的登入存取控管(非對外簽發/驗證機器身分),登入軌跡併入 audit log。

F-ISAC 7 主題成熟度自評

對應治理 / 風險 / 合規 / 開發安全 / 資料保護 / 監控應變 / 第三方七主題,0-5 評分換算 L1-L5 並輸出雷達圖。

集團 CISO 多租戶視圖

母公司 CISO 跨子公司彙整 Critical 漏洞、SLA 過期與 SDLC 覆蓋度;子公司互相不可見,符合資料隔離原則。

繁中合規證據包

報告、修補建議、稽核紀錄全繁中化,可直接用於 POC 與客戶內部簡報。

第二順風 · AI 開發鏈攻擊面

AI 正在變成新的攻擊面 —— 在 build 就攔下

2026 上半年,攻擊者把 AI 拉進供應鏈:prompt injection 操縱 AI 助手、冒充的 MCP server、被濫用的本機 AI CLI。2025 年 9 月的 postmark-mcp 事件就是縮影——一個冒名套件養信任 15 個版本,再用一行程式碼把郵件偷偷外洩。AegisCode 的定位很單純:在 build-time、合併之前,把這條新興供應鏈風險納入同一份證據鏈。

已出貨

AI 生成程式碼二次安全檢查

對 AI 助手 / Copilot 生成的程式碼做注入與不安全模式的二次審查,接上 SAST-in-the-Loop 工作流,把被污染或不安全的產物擋在合併前。

POC 導入盤點

AI-BOM AI 元件清冊

自動盤點 repo 內的 AI 元件——對外模型 API、SDK/框架、向量資料庫、MCP server、agent 設定檔與本地模型權重——標記資料出境與未鎖版本風險,可匯出 CycloneDX 1.6 並隨簽章證據包交付。

POC 導入盤點

AI / MCP 設定衛生盤點

掃描 repo 與 CI 內的 AI 工具與 MCP 設定檔,盤點來源信任邊界與最小權限,把散落、沒人管的 AI 設定納入同一份治理視圖。

規劃中

MCP 來源驗證 · 冒名 server 偵測

針對 postmark-mcp 這類冒名/投毒的 MCP server 做來源驗證與 known-bad 比對,於導入時把第三方 MCP 納入 TPRM 流程。

AegisCode 只做 build-time 的「找出並擋下」。runtime 的機器身分發證、驗證與撤銷,屬姊妹方案 AegisAgent 的範圍——邊界清楚,不混淆。

把 AI 攻擊面納入 POC 評估

產品畫面導覽

4 個核心模組依產品導覽流程排列。點選分頁切換,查看匿名化金融情境中的治理證據與審核節點。

CBOM / PQC 加密資產盤點

  • • RSA-2048 → PQC migration risk: High
  • • MD5 in legacy auth flow: Critical
  • • Hard-coded IV in payment: Critical
  • • AES-128 short key: Medium

vs 傳統程式碼品質平台

程式碼品質 + SAST
成熟
整合
CBOM / PQC
未支援
矛尖能力
AI-BOM AI 元件清冊
未支援
原生
繁中治理工作流
未支援
原生
主管審核留痕
部分
完整
台灣金融合規證據包
未支援
原生

部署選項

SaaS 託管

最快的導入路徑,適合一般企業評估

私有雲 / 地端

適合高法遵組織自管環境

Air-gapped

適合需求離線運作的金融、政府或國防客戶

正式部署條件、SSO、資料留存與 DPA 細節會在 30 天 POC 階段確認。

快速估算 — 30 天 POC 能產出多少 CBOM finding

這個估算只用 3 個維度做線性映射,提供業務對話起點。實際結果依專案範圍而定,POC 階段會校準。

程式碼倉庫數
加密敏感度
目前盤點方式

依您輸入,AegisCode Code 預估可在 30 天 POC 內產出 ~12 個高風險 CBOM finding,並節省 ~8 工時/月。

常見問題

AegisCode Code 跟既有的 SAST 工具(如 Snyk / Veracode / Checkmarx)有什麼差別?

我們的差異化在 CBOM/PQC 加密資產盤點、繁中治理工作流與主管審核留痕。這三項是金融、政府客戶的核心稽核訴求,通用國際 SAST 工具不會原生支援。

CBOM / PQC 的盤點真的能當合規證據用嗎?

可以。CBOM portfolio 與 Evidence Pack 是依金融資安主管的稽核情境設計,涵蓋演算法、金鑰長度、IV、TLS、PQC 遷移風險。30 天 POC 階段我們會根據您的環境校準輸出。

Air-gapped / 地端部署的複雜度如何?

Air-gapped 是我們支援的部署模式之一。POC 階段會評估網路隔離、SSO 整合與資料留存要求,正式環境條件會在 POC 結束前釐清。

出口歐盟的產品要因應 CRA(網路韌性法案),AegisCode 幫得上嗎?

可以。CRA 要求機器可讀 SBOM、漏洞處理證明,以及 2026/9/11 起被主動利用漏洞的 24/72 小時通報。AegisCode 的 SBOM、簽章證據包與已知被利用漏洞情資已對應這三塊;VEX 可利用性聲明(OpenVEX)與 CRA 合規對應報告本季推出,POC 階段可先以出口產品的 repo 演練。

30 天 POC 可以評估到什麼程度?

POC 涵蓋 SAST findings 展示、CBOM/PQC 盤點、SBOM/SCA 報告範本、Quality Gate 試跑,以及部署與稽核需求盤點。POC 結束時您能拿到一份完整的 Evidence Pack 範本與導入建議。

30 天 POC 評估內容

SAST findings 與 AI 修復建議展示

CBOM / PQC 加密資產盤點導覽

SBOM / SCA 報告與稽核證據包樣本

AI-BOM AI 元件清冊展示(模型 API / MCP / agent 設定盤點)

Quality Gate 與主管審核紀錄試跑

部署、SSO、資料留存與 DPA 需求盤點

或直接寄信: sales@aegiscode.com