以 CBOM/PQC 為矛尖的內部程式碼安全治理SAST + 主管審核閉環
AegisCode Code 以 CBOM/PQC 加密資產盤點為矛尖,搭配 SAST 弱點掃描、AI 修補工作流與主管審核留痕。專為金融、政府與高法遵組織的繁中合規場景設計。
從「未來趨勢」變成「現行法規」——準備期的第一項任務,就是 AegisCode 的核心引擎。
指引明訂準備期 2026–2027 應建立可維護的密碼技術清冊(CBOM),並鼓勵以 AI 等自動化工具輔助盤點——人工 Excel 難以建立與滾動維護。HNDL(先竊取、待量子破解)讓今天加密的金融資料未來被解密,遷移不能等 2035。下表是指引七大策略對應 AegisCode 的已出貨能力。
七大策略中 5 項直接命中 為 AegisCode 已出貨能力, 2 項工具輔助。CBOM 清冊可匯出 JSON/Excel,並併入簽章證據包供稽核離線驗證。
3 個典型客戶情境
不具名情境示意,僅代表常見企業類型。實際 POC 會依您的環境校準。
痛點
加密資產散落在 Excel 與口耳相傳,稽核時無法即時提證
使用後
統一 CBOM portfolio + Evidence Pack,30 天 POC 即可呈交主管
痛點
外送黑盒掃描,結果延遲且不能離站
使用後
地端封閉部署,SAST + CBOM 報告直接在內網產出
痛點
依賴工具拼接,每個語言各管各的,主管審核斷裂
使用後
單一 Quality Gate 整合 20+ 種開發語言,主管審核留痕一致
核心能力
七大掃描:SAST · SCA · DAST · IaC · Secrets · 容器 · CBOM(含 PQC)。AI 程式碼健檢為另計差異化,不計入七大掃描。
CBOM / PQC 加密資產
盤點程式碼中的加密用法,對應金管會《後量子密碼遷移參考指引》(2026/6/18) 準備期的 CBOM 建置。指引明文鼓勵以 AI 自動化盤點——正是 AegisCode 的核心引擎。矛尖能力。
SAST 弱點掃描
覆蓋 20+ 種常見企業開發語言,弱點可直接進入主管審核工作流。
SAST-in-the-Loop AI 修補工作流
把 SAST findings 轉成可審查、可修復、可追蹤的 AI review 工作流。
SBOM / SCA
建立依賴清單與第三方元件風險視圖,支援採購與稽核情境。
AI-BOM AI 元件清冊
與 SBOM、CBOM 並列的第三張清冊:盤點模型 API、AI SDK/框架、向量資料庫、MCP server 與 agent 設定檔,標記資料出境風險,對應 AI 治理與資料主權盤點需求。
Container / IaC / Secrets 掃描
容器映像、Terraform / K8s / CloudFormation 設定漂移、硬編碼金鑰三面向並行盤點,補齊 SAST / SBOM 之外的供應鏈與設定面風險。
DAST 動態掃描
黑盒動態掃描補強 SAST 看不到的 runtime 風險(authn / session / injection / headers),POC 階段串接您的 staging 環境,問題與 SAST findings 同框追蹤。
Quality Gate + 主管審核
依 findings 嚴重度設計閘門規則,主管審核留痕完整,可作為金融合規證據。
GitHub App / JIRA / Slack 整合
GitHub App 自動 PR 留言 + status check;JIRA / Azure DevOps 雙向同步;Slack / Teams 出站通知可依嚴重度分流。
稽核軌跡 / Audit Log
append-only audit log、login lockout、季度 access review,可作為客戶自身 ISO 27001 / SOC 2 稽核的佐證資料(findings 對應,非本平台已取得認證)。
SAML 2.0 SSO + JIT
對接主流 SAML 2.0 IdP,Just-In-Time provisioning 自動建立帳號與對應 BU 權限,無須 IT 預先建檔;屬平台自身的登入存取控管(非對外簽發/驗證機器身分),登入軌跡併入 audit log。
F-ISAC 7 主題成熟度自評
對應治理 / 風險 / 合規 / 開發安全 / 資料保護 / 監控應變 / 第三方七主題,0-5 評分換算 L1-L5 並輸出雷達圖。
集團 CISO 多租戶視圖
母公司 CISO 跨子公司彙整 Critical 漏洞、SLA 過期與 SDLC 覆蓋度;子公司互相不可見,符合資料隔離原則。
繁中合規證據包
報告、修補建議、稽核紀錄全繁中化,可直接用於 POC 與客戶內部簡報。
AI 正在變成新的攻擊面 —— 在 build 就攔下
2026 上半年,攻擊者把 AI 拉進供應鏈:prompt injection 操縱 AI 助手、冒充的 MCP server、被濫用的本機 AI CLI。2025 年 9 月的 postmark-mcp 事件就是縮影——一個冒名套件養信任 15 個版本,再用一行程式碼把郵件偷偷外洩。AegisCode 的定位很單純:在 build-time、合併之前,把這條新興供應鏈風險納入同一份證據鏈。
AI 生成程式碼二次安全檢查
對 AI 助手 / Copilot 生成的程式碼做注入與不安全模式的二次審查,接上 SAST-in-the-Loop 工作流,把被污染或不安全的產物擋在合併前。
AI-BOM AI 元件清冊
自動盤點 repo 內的 AI 元件——對外模型 API、SDK/框架、向量資料庫、MCP server、agent 設定檔與本地模型權重——標記資料出境與未鎖版本風險,可匯出 CycloneDX 1.6 並隨簽章證據包交付。
AI / MCP 設定衛生盤點
掃描 repo 與 CI 內的 AI 工具與 MCP 設定檔,盤點來源信任邊界與最小權限,把散落、沒人管的 AI 設定納入同一份治理視圖。
MCP 來源驗證 · 冒名 server 偵測
針對 postmark-mcp 這類冒名/投毒的 MCP server 做來源驗證與 known-bad 比對,於導入時把第三方 MCP 納入 TPRM 流程。
AegisCode 只做 build-time 的「找出並擋下」。runtime 的機器身分發證、驗證與撤銷,屬姊妹方案 AegisAgent 的範圍——邊界清楚,不混淆。
把 AI 攻擊面納入 POC 評估產品畫面導覽
4 個核心模組依產品導覽流程排列。點選分頁切換,查看匿名化金融情境中的治理證據與審核節點。
CBOM / PQC 加密資產盤點
- • RSA-2048 → PQC migration risk: High
- • MD5 in legacy auth flow: Critical
- • Hard-coded IV in payment: Critical
- • AES-128 short key: Medium
vs 傳統程式碼品質平台
部署選項
SaaS 託管
最快的導入路徑,適合一般企業評估
私有雲 / 地端
適合高法遵組織自管環境
Air-gapped
適合需求離線運作的金融、政府或國防客戶
正式部署條件、SSO、資料留存與 DPA 細節會在 30 天 POC 階段確認。
快速估算 — 30 天 POC 能產出多少 CBOM finding
這個估算只用 3 個維度做線性映射,提供業務對話起點。實際結果依專案範圍而定,POC 階段會校準。
依您輸入,AegisCode Code 預估可在 30 天 POC 內產出 ~12 個高風險 CBOM finding,並節省 ~8 工時/月。
常見問題
AegisCode Code 跟既有的 SAST 工具(如 Snyk / Veracode / Checkmarx)有什麼差別?
我們的差異化在 CBOM/PQC 加密資產盤點、繁中治理工作流與主管審核留痕。這三項是金融、政府客戶的核心稽核訴求,通用國際 SAST 工具不會原生支援。
CBOM / PQC 的盤點真的能當合規證據用嗎?
可以。CBOM portfolio 與 Evidence Pack 是依金融資安主管的稽核情境設計,涵蓋演算法、金鑰長度、IV、TLS、PQC 遷移風險。30 天 POC 階段我們會根據您的環境校準輸出。
Air-gapped / 地端部署的複雜度如何?
Air-gapped 是我們支援的部署模式之一。POC 階段會評估網路隔離、SSO 整合與資料留存要求,正式環境條件會在 POC 結束前釐清。
出口歐盟的產品要因應 CRA(網路韌性法案),AegisCode 幫得上嗎?
可以。CRA 要求機器可讀 SBOM、漏洞處理證明,以及 2026/9/11 起被主動利用漏洞的 24/72 小時通報。AegisCode 的 SBOM、簽章證據包與已知被利用漏洞情資已對應這三塊;VEX 可利用性聲明(OpenVEX)與 CRA 合規對應報告本季推出,POC 階段可先以出口產品的 repo 演練。
30 天 POC 可以評估到什麼程度?
POC 涵蓋 SAST findings 展示、CBOM/PQC 盤點、SBOM/SCA 報告範本、Quality Gate 試跑,以及部署與稽核需求盤點。POC 結束時您能拿到一份完整的 Evidence Pack 範本與導入建議。
30 天 POC 評估內容
SAST findings 與 AI 修復建議展示
CBOM / PQC 加密資產盤點導覽
SBOM / SCA 報告與稽核證據包樣本
AI-BOM AI 元件清冊展示(模型 API / MCP / agent 設定盤點)
Quality Gate 與主管審核紀錄試跑
部署、SSO、資料留存與 DPA 需求盤點
或直接寄信: sales@aegiscode.com