一張圖,看透應用程式的資安風險全貌
彙整來自 1,000+ 家企業正式環境數據,橫跨原始碼、CI/CD、IaC、容器與雲端環境,全面解析當今最具威脅的 AppSec 主要資安風險。
78%
企業在正式環境執行帶有嚴重漏洞的應用程式
77%
企業放任容器內的高風險或嚴重漏洞超過 90 天未修補
31%
企業在原始碼中直接外洩有效的機密憑證
43%
企業曾外洩 AI 或機器學習的存取憑證
11%
企業在正式環境中執行已知的惡意套件
84%
企業透過 IaC 部署未加密的儲存空間
問題不在於「可視性」,而是「優先順序」。
資安團隊面臨的真正危機,並非缺乏風險能見度,而是早已被巨量告警癱瘓。
片段化的工具產生了無數告警,卻無法精準識別哪些風險在正式環境中真正可被駭客利用,導致待修補的漏洞堆積如山,企業長期暴露於致命風險中。
2026 應用程式安全的關鍵趨勢
關鍵趨勢 #1
AI 技術的導入正加速擴展攻擊面
在原始碼與 Pipeline 中暴露 AI 存取憑證,讓駭客得以直接獲取企業專有模型、敏感數據,甚至是依用量計費的雲端服務存取權限。
%
企業曾外洩 AI 或機器學習的存取憑證
關鍵趨勢 #2
失去「上下文脈絡」的偵測,只是徒勞無功
企業雖能在早期偵測出漏洞,卻因缺乏執行階段的洞察,而無法排定修補優先順序,精準緩解真正具備威脅的漏洞。
%
企業放任容器內的高風險或嚴重漏洞超過 90 天未修補
關鍵趨勢 #3
軟體供應鏈已成為首要的攻擊路徑
帶有漏洞或惡意的套件,在漏洞公開數年後依然在正式環境中執行,導致連帶風險在各項服務間不斷蔓延。
%
企業在正式環境執行帶有嚴重漏洞的應用程式
- 50%
50%企業內部仍含有受 Log4Shell 漏洞波及的套件
關鍵趨勢 #4
IaC 正讓錯誤配置大規模蔓延
不安全的架構範本在多個環境中被自動複製,導致加密缺失、日誌記錄不全以及身分與存取管理(IAM)漏洞在企業內部無限制擴散。
%
企業已使用 IaC 部署基礎架構
- 80%
80%企業在 IaC 管理的環境中缺乏日誌記錄或監控機制
專家洞察
來自 Orca Security 執行長 Gil Geron 的一段話
應用程式資安的遊戲規則已經徹底改變,但許多團隊卻還在用舊方法解新問題。當軟體開發已全面走向開源套件、自動化 Pipeline 與 IaC,加上 AI 正在光速放大攻擊面,傳統的防禦思維已不敷使用。這份報告能帶領您看透傳統模式的盲點,並指引高效能團隊如何精準聚焦,實現實質的風險轉型。
Gil Geron
Orca Security CEO 暨共同創辦人
2026 Orca 應用程式安全(AppSec)現況報告
本報告彙整 2025 Q3 至 2026 Q1 期間的匿名遙測數據,對真實世界的應用程式風險進行全方位深度量化分析,快速掌握當前最迫切的 AppSec 關鍵趨勢與安全挑戰:
-
-
- AI 憑證暴露與模型存取危機
- 供應鏈安全與惡意套件
- 代碼與 Pipeline 中的金鑰外洩
- 正式環境中長期未修補的漏洞
- IaC 範本引發的大規模配置錯誤
- 容器資安盲點與緩慢的修補流程
- 原始碼儲存庫(Repository)與分支(Branch)保護機制弱點
- 排定修補優先級以降低正式環境風險的核心建議
-
進一步了解