封面故事
DevSecOps實踐安全左移
從開發到部署內建資安機制　敏捷速度與風險控管兼顧

文◎洪羿漣

面對近年頻傳的供應鏈攻擊與開源套件風險，企業軟體安全已不再只是資安部門的責任，而是整體開發流程不可或缺的基礎。傳統DevOps雖能提升開發與部署效率，卻因資安措施多集中於末端檢測，使得漏洞常在產品上線後才被發現，甚至造成實際損害。對此，DevSecOps已逐漸成為企業強化資安治理的關鍵策略。

DevSecOps強調不僅在開發初期即導入安全設計理念，更透過自動化工具與平台整合，把靜態程式碼分析（SAST）、動態弱點掃描（DAST）、開源元件組成分析（SCA）及安全政策遵循等機制，嵌入CI/CD軟體生命週期循環之中。此策略有助於降低因人力疏漏或工具碎片化所帶來的風險，同時也讓安全控管由事後補救轉為事前預防。

更進一步的發展則體現在流程平台化與AI輔助的落實上。透過標準化的工具鏈整合、即時弱點修補技術，以及AI驅動的修正建議回饋機制，開發團隊能在維持敏捷速度的同時，精準掌握安全風險與修復優先級。這種安全與效率兼備的設計邏輯，不僅回應了數位轉型下對開發速度與品質並重的需求，也為軟體供應鏈防禦力奠定更穩固的基礎。

專題報導

智慧辦公場域　掀溝通革命
數位轉型促使傳統協作式微　AI扮演智慧大腦傳承經驗
文◎余采霏

過去幾年，在新冠疫情以及數位科技的進步下，人們的工作模式開始產生了變革，從實體辦公大幅轉向遠距工作，然後進入到混合的工作模式，員工可以依據自己的工作任務來選擇合適的工作地點。儘管近年來企業鼓勵或要求員工重返辦公室，但運用科技與空間的規劃設計以形塑更有效率以及生產力的辦公室樣貌早已經內化成為工作日常，例如電子簽呈、電子公文或是結合機器人流程自動化（RPA）的人機協作，在在都在改變著員工的工作體驗。

事實上，疫後企業數位轉型腳步還在不斷加速，特別是在近年來快速蓬勃發展的AI技術驅動下，辦公室的工作模式也不斷朝向智慧化演進，有了智慧的大腦，不管是知識經驗的傳承或是對外服務都有更顯著的效益。而另一方面，科技也在協助企業善盡綠色永續與社會責任，不只是節省紙張用量，那些無法透過電子化精省的紙張，現在也有機會透過種樹計劃減碳，進而為地球盡一份心力。

從數位化、數位優化到數位轉型，傳統以紙張為核心的溝通模式正在大幅地轉向透過數位工具與AI來達到更有效的溝通協作，同時更符合環境友善的概念，本期將邀請多位專家分享智慧辦公的新樣貌。

產業趨勢

惡意郵件偽裝手法翻新　壓縮夾帶虛擬硬碟.vhd檔
社交工程冒充技術支援信　電郵服務商收緊發信來源驗證
文◎高銘鍾（ASRC垃圾訊息研究中心主任）

時至2025年，郵件安全趨勢強調更嚴格的身分驗證要求。Gmail和Yahoo等主要郵件服務提供商除了持續推動SPF、DKIM和DMARC等認證協議的採用，也逐步將目標指向DMARC的p=reject的郵件政策，以防止域名被冒用。發送來源的驗證與檢測，也逐漸由IP信譽轉為域名信譽。

一月底揭露的7-Zip軟體重大安全漏洞（CVE-2025-0411），已被俄羅斯網路犯罪者用於攻擊烏克蘭。透過電子郵件夾帶惡意附件，並利用該漏洞，即可繞過Windows系統的MotW（Mark of the Web）安全機制，受害者可能受騙而在電腦上執行外來惡意程式，最終導致資料外洩或電腦遭控制。除須提防可疑郵件外，建議盡快將7-Zip更新至最新版本，以修補該漏洞。

此外，CVE-2025-21298也值得注意，這是一個影響Microsoft Office和Windows作業系統的嚴重漏洞，特別涉及OLE（物件連結與嵌入）技術。攻擊者可以利用這個漏洞，透過精心設計的文件，在未經使用者同意的情況下執行任意程式碼。

深度觀點
源自中國間諜攻擊進化　最新竊資鎖定台灣與日本
精準釣魚散播惡意Excel巨集　新版後門程式隱密潛伏傳輸

文◎Trend Micro Research 趨勢科技威脅研究中心

近期趨勢科技在監控進階持續性滲透威脅（APT）時，發現了一起瞄準台灣和日本的攻擊行動，應該是由Earth Kasha所發動。在2025年3月偵測到這起行動，發現它使用魚叉式網路釣魚手法來散布新版的ANEL後門程式（圖1）。

Earth Kasha應該是APT10這個更大集團旗下的一員，從2017年起開始從事間諜活動，而且經常變換他們使用的技巧、手法和工具。趨勢科技曾在2024年記錄到該集團的活動，他們專門利用網路釣魚手法來攻擊一些和政治單位、研究機構、智庫以及日本國際關係相關的人士。他們今年最新的魚叉式網路釣魚行動似乎又擴大了攻擊目標，納入台灣和日本的政府機關和公家機構。

根據其受害機構和攻擊後續的TTP來看，這起攻擊背後的動機應該是從事間諜活動和竊取資訊。由於Earth Kasha集團一般被認為是源自中國，因此像這樣針對台灣和日本的潛在間諜行動，有可能對地緣政治造成很大的影響。本文探討在Earth Kasha最新的攻擊行動中觀察到的TTP和惡意程式。

深度學習
原生檔案伺服器遠勝NAS　整合AD細緻權限集中管理
活用Windows Server進階功能　新版2025使用體驗更佳

文◎顧武雄

如果自身的企業網路採用的是以Windows為主的解決方案，那麼對於檔案伺服器的規劃與部署，Windows Server實際上就是最好的選擇，因為檔案伺服器本來就已是它的原生功能，尤其是當部署在有Active Directory的網域架構中，不僅更易於集中控管權限與配置，還能夠進一步應用更多與檔案伺服器相關的進階功能。

除了Windows Server以外的第三方解決方案，比較適用在哪一種網路環境呢？答案是沒有Active Directory網域的中小企業網路，甚至於沒有IT部門的小型網路都相當合適，因為通常這一類的組織架構簡單權限配置單純，不太需要學習複雜的IT技術與經驗，並且通常也沒有許多必須整合Active Directory或Microsoft相關產品的需求。

說到這裡，或許有人會說目前有許多的第三方解決方案（例如NAS設備），不是都有支援整合Active Directory的驗證機制嗎？但那終究僅是身分驗證的整合，對於許多進階需求的應用，若Windows Server本身已經內建提供，當然還是使用原生所提供的肯定是最好。

接下來，就以實戰講解的方式分享如何在現行的Active Directory網域基礎架構下，善用分散式檔案系統（Distributed File System，DFS）與檔案伺服器資源管理（File Server Resource Manager，FSRM），簡單做好企業檔案伺服器資源的集中控管。

技術論壇
善用Nutanix內建PCBR　快速備份還原Prism Central
無須額外添購備份軟體　PC主控台故障也能立即還原

文◎王偉任

在Nutanix超融合基礎架構中，Prism Central（PC）主要擔任集中式主控台的角色，針對Nutanix超融合叢集中資源管理和調度的工作任務。此外，當小型企業或組織部署Nutanix超融合叢集時，由於運作規模不大，或許可以在不使用PC主控台情況下，僅依靠Nutanix超融合叢集中預設的Prism Element（PE），即可完成大部分的維護管理工作任務。

然而，中大型企業或組織由於各項營運服務和專案不斷增強，勢必會部署多個Nutanix超融合叢集，此時便需要部署PC主控台，以便同時管理和調度多個Nutanix超融合叢集資源。

因此，在本文中，將說明及實作演練如何依靠內建的Prism Central Backup and Restore（PCBR）機制，針對PC主控台進行備份和還原的動作。

值得注意的是，在Nutanix官方文件中有特別提醒，企業組織應使用內建的PCBR機制進行PC主控台的備份還原作業，不支援使用第三方備份軟體，例如HYCU、Veeam等等，或是採用Nutanix Protection Domains機制，來試圖備份或還原PC主控台，不然將會導致PC主控台在還原後，出現資料不一致的錯誤或無法正確還原的情況。