關於
Mend.io(前身為 WhiteSource)是 AI-Native 的應用程式與軟體供應鏈安全平台,以 SBOM(Software Bill of Materials) 為核心,協助企業在軟體開發生命週期(SDLC)中,持續掌握應用程式與開源套件的組成、漏洞與授權風險,建立可治理、可追蹤、可稽核的軟體供應鏈安全管理機制。
平台同時支援 AI Security 與 AIBOM(AI Bill of Materials),協助企業盤點 AI 元件與模型來源,並透過 AI Red Team 演練測試,實際驗證 LLM 在提示注入(Prompt Injection)、資料洩露、幻覺輸出與不當行為等風險下的暴露程度。可對應 OWASP Top 10 for LLM Applications,並支援企業在因應 EU AI Act、NIST AI Risk Management Framework(AI RMF) 等 AI 風險治理與風險管理要求。
在修復層面,透過 Mend Renovate 與自動修復能力,可針對開源相依套件弱點即時提出升級與修補建議,並自動建立 Pull Request(PR),將修復流程直接整合至開發作業,大幅降低人工處理與修補成本。
平台亦支援靜態應用程式安全測試(SAST)、Container 容器安全掃描,以及IaC 分析,協助企業在程式碼、相依套件與部署環境各層面及早識別風險,並透過既有開發流程進行修補與管控,在不影響開發效率的前提下,兼顧資訊安全治理與軟體交付速度。
特色優勢
• 以 SBOM 為核心的軟體供應鏈安全治理
透過 SBOM 持續盤點應用程式所使用的第三方元件與開源套件,協助企業將供應鏈風險從隱性問題轉為可視、可管理、可稽核的治理項目,讓供應鏈風險管理成為開發流程的一部分,並可依不同組織的安全成熟度與法遵要求逐步擴展。
• AI-Native 讓 AI 與 LLM 供應鏈風險可被盤點與驗證
除支援 AI 元件與模型的組成盤點(AIBOM)外,亦透過 AI Red Team 練縯測試,驗證 AI 系統在真實攻擊情境下的風險暴露,並參考 OWASP Top 10 for LLM Applications 作為風險驗證框架,協助企業在 AI 導入與上線前,同步完成治理與實證。
• Mend Renovate 與自動修復,讓供應鏈風險真正被修復
平台可持續監控開源套件版本與弱點狀態,並主動建立 Pull Request(PR),將相依套件升級與修補直接送進開發流程執行。此作法不僅降低人工處理成本,也能減少技術債累積,提升程式碼可維護性與整體軟體品質。
• 安全治理無縫融入開發流程,加速交付效率
與 CI/CD 流程整合,將 SCA 驅動的供應鏈風險檢查與修復無縫融入既有開發作業,並結合 SAST、Container與 IaC 分析,協助企業在不影響開發速度的前提下,持續降低風險累積,兼顧交付效率與長期安全治理。
詳細規格
更多相關資訊詳見產品網頁說明
https://www.gss.com.tw/mend-io
