Security and Tools
根據 CERT/CC 的統計,應用程式發現的
安全漏洞數目一直處於高度的成長,而
Microsoft 的安全情報報告、IBM X-Force 趨
勢及風險報告也都強調網頁應用程式為最需正
視資安問題之一,為避免這些漏洞所造成的威
脅,原始碼檢測是建構及驗證網頁應用程式安
全最有效的方法之一。
與叡揚資訊合作 導入 Fortify SCA 程式碼
安全檢測工具
「實際上,我們一直有在事前的預防這方面規
劃了三個面向去交叉驗證交易網站的安全性,
為白箱、灰箱及黑箱測試。」日盛銀行資訊
處金融系統部金融電子商務經理周信強笑笑
地說,為了因應日益嚴謹的資安政策趨勢,
著重廠商專業及服務 縮短檢測及摸索期快速擴大效益
撰文 | 叡揚資訊 行銷總處
強化源碼檢測 日盛銀行為客戶把關
預防勝於治療
根據美國 NIST 的研究報告指出,
應用程式在發布後進行修補其成
本比發布前進行修補高出 30 倍之
多!
圖說:日盛銀行資訊處金融系統部金融電子商務經理 周信強
| 叡揚e論壇 第70期 | MARCH 201336
尤其達到電子商務交易的安全、完整及確保
客戶權益的目標,故與叡揚資訊合作,導入
Fortify SCA 程式碼安全檢測工具,以更積極
主動的態度去面對不斷創新駭客攻擊的挑戰
並更加完善網站交易的安全。
有鑑於日盛銀網站已建置逾 12 年,且採
Pure Microsoft 的開發策略,隨著 Microsoft
開發工具的演進,網站歷經各階段不同程式
語言的轉換,但是大部分的程式碼安全檢測
工具都有語言版本的限制,增加引進的困難
度,「考量到對於 ASP 及 VB 的支援、檢
測效能與顧問服務,故最後決定委由叡揚資
訊協助導入 Fortify SCA 在最短時間內獲得
Domain-Know-How 及融入公司運作。」周
經理說。
價格+功能評比+合作廠商=決定關鍵
不諱言地,對於大部分組織來說,源碼檢測
著重在營運風險的降低,而非獲利的創造,
「所以在評估時會對成本控制更為謹慎,避
免不必要的支出。」擁有 11 年資歷的周信
強經理強調,目前市面上有許多的檢測工
具,各家效能跟價格落差很大,要如何挑選
出符合自身組織的檢測工具的確是一個難
題,故如何在成本與品質上取得平衡,是此
次評估重點,「也就是說,價格並非是唯一
考量,功能評比效能更重要,其次還有合作
廠商之專業服務能力與對金融業環境之熟
悉,這三環缺一不可,如此才能建立一個完
整的流程與機制」。
人力精簡 故選商更重要
之所以會如此重視合作廠商之專業服務,乃
因資訊處人力偏屬精簡,開發人員不但必須
負責需求開發及專案建置,尚須兼顧源碼檢
測,而源碼檢測報告的產出只是第一步,其
最重要之關鍵為後天人工改善應用程式之弱
點,在如此消耗大量人力之下,周經理也直
言「剛接觸時,大家對於源碼檢測之機制,
一定是處在摸索階段,所以設定的目標不僅
是採購一套產品,更重要的是建立一套完整
的 SOP 流程圖,故需要叡揚團隊提供有效直
接地解決方案及教育訓練等輔助,方能縮短
檢測及摸索期,能更精準的進入運作軌道。」
「顧及成本、效能與後續服務,我們大概花
了半年的時間來作評估,最後篩選出來兩家
來評選,並請廠商來做產品 DEMO 實做、
測試報告及提供看法建議,最後經全方位衡
量下,我們決定選擇叡揚團隊!」在完成採
購流程及軟硬體建置後,請叡揚團隊引導完
成整套的源碼檢測流程,包括初次測試、
弱點討論及過濾,定義排外條件;第二次
檢測,確認弱點及應改善項目,提供改善建
廠商之專業及服務才是根本。
價格不是首要因素,評比內容
( 如 功 能、 效 能、 廠 商 之 專
業 及 服 務 才 是 根 本 ) 故 先 定
義 採 購 目 標( 成 本、 功 能 需
求、 專 案 時 程 ), 市 場 產 品
資 料 蒐 集、 資 格 審 查、 邀 商
DEMO,確認最後評比廠商,
進 行 實 作 演 練 及 報 價, 最 後
決定採購產品。 ”
“
MARCH 2013 | 叡揚e論壇 第70期 | 37
資安工具 專欄 Column
Security and Tools
Security and Tools
一分鐘看專案
預期目標
1. 預期效果是能快速精準地找出網站程式
弱點,提供有效直接的解決方案,才能
在最短時間內,投入最少人力,就能提
升交易網站的資安強度。
2. 預期目標有兩項:
(1) 定期全面的檢測公司所有交易網站。
(2) 提供開發人員開發過程的檢測工具,
提升開發品質。
3. 希望導入及使用範圍:先定義在交易網
站平台,包括網路銀行、企業金融網、
網路 ATM、行動銀行、FFDI 及 FXML
等,日後再視需求逐步擴展到其他內部
系統。
評價
1. 迅速,涵蓋完整的程式語言,檢測報告
準確,弱點敘述詳細,積極的顧問服
務,完整的訓練課程。
2. 定義檢測條件,可客製化需求,及更準
確的確認弱點及應排外項目。開發輔助
工具,整合到 VisualStudio 開發工具,
作為開發過程的品質檢測環節,提升開
發品質。
Serv
ices
來說,以往講再多,業務單位都很難體會資安
重要性,而輕忽對資安的人力資源之投入,透
過 Fortify 來架構標準 SOP 後,將源碼檢測植
入營運管理流程運作,讓開發人員有更明確
的規範可依循及參考,並以執行結果作為 KPI
的量化評量因子,透過具體檢測報告向營管單
位說明目前網站的安全性及應改善的項目與預
估,更容易取得業務單位的支援。
議,執行改善開發;最後則是比對前後次檢測
報告差異,確認檢測執行成效。「整套流程下
來,讓同仁實際體驗源碼檢測,並建立資安概
念。」周信強經理謹慎地說,營運風險的管
理,相對之下是比較隱而不見,但是一旦有問
題就不是救火隊來撲個火就沒事,尤其現在又
有個資法需遵循,故當在執行源碼檢測時,不
但希望完護資安這道牆;實際上,更希望從源
頭做起,讓開發同仁可以從第一線就能架構資
安防護觀念,長期下來不但可以節省人力與時
間的成本,並且維持著一定的檢測品質。
執行結果作為 KPI 具體檢測報告更清楚
目前日盛銀行以網銀為驗證項目,對於資訊處
| 叡揚e論壇 第70期 | MARCH 201338
工具是死的 廠商服務才能滿足需求
「工具是死的,還是需要以人工搭配自動化
檢測工具才能互補有無!」周經理解釋說
明,對於弱點定義,Fortify 以資料庫為基
準,嚴謹比對源碼內容並產出測試結果,可
是有些防護措施不在資料庫的定義範疇內,
但已經過灰箱及黑箱檢驗並無風險,所以開
發人員必須和顧問協調後,確認是否要納入
排外規則;其中會因立場與認知差異,有不
同的看法,「在考量成本與效益之下,不可
其實一開始因為 Fortify 對於 VB 及 ASP 的檢測不如預期準確且檢測結
果頗多爭議有點失望。但是在跟叡揚顧問不斷互動中,藉由溝通瞭解內
部的現況與需求,顧問也能因應公司立場,不斷進行驗證與測試,終能
於期限內完成長官交付之任務,這點十分感謝叡揚的配合。
“
”能照單全收、全部都改,畢竟這可能會產生
不必要的人力時間成本之耗費」周經理說,
在這裡也感謝叡揚可以針對一些爭議處,持
續協調找出辦法,逐漸消彌僵持點。
最後,周信強經理也感謝團隊同仁全力配
合,「第一年一定是最辛苦的,相信這一步
站穩之後,藉由經驗與學習累積,可以提升
開發品質,並做好資安防護,達到雙贏之目
的。」
MARCH 2013 | 叡揚e論壇 第70期 | 39
資安工具 專欄 Column
Security and Tools