一張視圖,掌握應用程式的風險全貌
彙整來自 1,000+ 家企業正式環境數據,橫跨原始碼、CI/CD、IaC、容器與雲端環境,全面解析當今最具威脅的 AppSec 主要資安風險。
78%
企業在正式環境執行具有嚴重漏洞的應用程式
77%
企業放任容器內的高風險或重大漏洞超過 90 天未修補
31%
企業在原始碼中暴露仍有效的機密憑證(valid secrets)
43%
企業曾外洩 AI 或機器學習的存取憑證
11%
企業在正式環境中執行已知的惡意套件
84%
企業透過 IaC 部署未加密的儲存資源
問題不在於「風險可視性」, 而是「優先順序」。
資安團隊面臨的真正危機,並非缺乏風險能見度,而是被巨量告警癱瘓。
零散的工具產生了成千上萬的告警,卻無法識別哪些風險在正式環境裡真正會被駭客利用,導致待修補的漏洞堆積如山,修補效率低落,企業長期暴露在重大風險中。
本報告揭示了傳統應用安全失效的原因,以及高成效團隊如何以不同的方法有效應對。
2026 應用程式安全的關鍵趨勢
關鍵趨勢 #1
AI 技術的導入正加速擴大攻擊面
AI 憑證經常暴露在程式碼與 CI/CD 流程中,使駭客得以直接存取企業專有模型、敏感資料,甚至是依用量計費的服務。
%
企業曾外洩 AI 或機器學習相關憑證
關鍵趨勢 #2
缺乏「上下文脈絡」的偵測,只是徒勞無功
企業雖能及早偵測出漏洞,卻因缺乏執行階段(Runtime)的洞察,而無法有效判斷優先順序並修補真正具備威脅的風險。
%
企業放任容器內的高風險或重大漏洞超過 90 天未修補
關鍵趨勢 #3
軟體供應鏈已成為主要的攻擊途徑
惡意或帶有漏洞的相依套件(Dependencies),在漏洞揭露多年後仍持續在正式環境中運行,導致風險在各項服務間不斷蔓延。
%
企業在正式環境執行帶有嚴重漏洞的應用程式
- 50%
50%企業內仍有受 Log4Shell 漏洞影響的相依套件
關鍵趨勢 #4
IaC 正在放大錯誤配置風險
不安全的架構範本會被自動複製到各個環境中,導致加密、日誌記錄及身分與存取管理(IAM)等缺失風險在企業內大規模擴散。
%
企業已使用 IaC 部署基礎架構
- 80%
80%的 IaC 管理環境中缺乏日誌記錄或監控機制
專家洞察
來自 Orca Security 執行長的一段話
應用程式安全的遊戲規則已徹底改變,但許多團隊卻還在用舊方法解決新問題。當軟體開發全面走向開源套件、自動化流程與 IaC,加上 AI 進一步擴大攻擊規模與風險,傳統防禦思維勢必不敷使用。這份報告將協助企業了解傳統模式的盲點,並指引資安團隊應該如何精準聚焦,以有效降低風險,實現真正的風險轉型。
Gil Geron
Orca Security CEO 暨共同創辦人
2026 Orca 應用程式安全(AppSec)
現況報告
本報告彙整 2025 Q3 至 2026 Q1 期間的匿名遙測數據,對真實世界的應用程式風險進行全方位深度量化分析,帶您快速掌握當前最迫切的 AppSec 關鍵趨勢與安全挑戰:
- AI 憑證暴露與模型存取風險
- 軟體供應鏈威脅與惡意相依套件
- 機密憑證散佈在程式碼、CI/CD 流程與運行環境中
- 正式環境中長期未修補的重大漏洞
- IaC 範本引發的大規模配置錯誤
- 容器安全盲點與緩慢的修補流程
- 原始碼儲存庫(Repository)與分支(Branch)保護機制弱點
- 排定優先順序、降低正式環境風險的重要建議
進一步了解