資策會揭軟體委外開發管理關鍵，幫助委外承辦人即時掌控開發進度與資安問題

過去對於軟體開發與程式設計的資訊委外管理，普遍的作法，多是從清楚定義委外範圍、合約詳實記錄的角度出發，以履約管理約束委外供應商的品質，然而，大家時常還是會擔心外包商的技術與人力狀況。例如，廠商了解需求嗎？能否如期交付？是否已通過功能與安全測試？因為可能曾經遭遇無法如期驗收，品質低落不符需求的問題。

在7月舉行的臺灣雲端大會上，我們看到資策會發展出用一站式DevSecOps整合平臺，實踐委外管理的應用模式。為何開發這樣的系統可用於委外？他們表示，因為委外軟體開發期間往往缺乏透明度，需建立開放與透明的溝通管道，要求定期進度報告，以及定期稽查與回饋，而他們基於這些需求所開發的這套系統，不只內部開發團隊適用，也能解決委外開發透明度不足的問題，讓專案執行進度、各項資安檢測，都能在驗收前做到更好的即時掌控。

企業軟體開發委外，需面對驗收時出現不合預期的焦慮

基本上，資訊委外分為5大類型，包括：軟體開發與程式設計、資訊系統營運與維護、技術支援與客戶服務、數據管理與資料中心營運，以及雲端服務。

以軟體開發與程式設計的委外而言，資策會專案經理組長林君容表示，委外的確帶來許多好處，例如，現在企業可能為了增加競爭力，將非核心技術委外，讓自家人力可專注於核心業務，就是好處之一，但也有諸多管理議題與風險要注意，尤其是溝通與協調。

例如，從委外管理作業程序來看，首先是委外項目選擇與可行性分析，像是哪些專案適合委外？可不可以委外？以及供應商能力評估與選擇。接下來，除了簽約要確保契約細節清晰明確，並考量各種風險，在簽約流程之後的履約執行控制，又是另一重點。

畢竟，不論案子大小，在委外簽約之後，對於承辦人與經手人而言，還是會擔心各種層面的問題，包括：廠商進度及能否準時交付，以及交付成果可能存在落差，像是不確定外包商對需求的理解程度，甚至於系統臭蟲的妥善處理，資安檢測報告的真實度。

而在資策會與一些機關單位洽談的實際經驗中，他們也收集到很多抱怨。例如：「廠商說好的功能卻沒作到，他們會推託表示先前我們沒講，不然就是說好的交期一拖再拖，甚至做出跟當初要求的明顯不同。」林君容表示，這些情況的發生，對身兼數職的委外承辦人來說，實在苦不堪言。

對於軟體開發委外簽約後的履約執行控制，資策會專案經理組 長林君容表示，過往存在最後交付才見真章的風險，如何讓委外專案進度檢查透明化？借助DevSecOps一站式整合工具來管 控是一種方式。

透過一站式整合平臺，即時掌握委外開發進度與細節

關於如何因應上述委外痛點，以及履約執行控制難題，林君容也趁機介紹自家打造的DevSecOps一站式整合工具，並說明此平臺的特殊應用，可讓委外開發過程「看」得到、「管」得到、「摸」得到。

該平臺是資策會兩年前打造，以開源解決方案為基礎並整合既有工具，而成為資安檢測掃描的敏捷開發平臺，當中整合了Redmine、GitLab、Harbor等CI/CD工具軟體，程式碼品質與風險檢測工具SonarQube，網站安全弱點掃描工具OWASPZAP，API整合測試工具Postman，網頁行為錄製與自動化測試工具SideeX，以及測試實證環境。

由於市面上的DevSecOps相關工具，幾乎都是外商產品的天下，因此這次資策會說明他們開發的平臺框架內容之餘，對於想自行開發DevSecOps平臺的國內企業開發團隊而言，也帶來可從中借鏡的機會。

這樣的平臺對委外開發管理的具體幫助是？林君容表示，過去委外承辦人員要等到最後一刻，交期來臨才會收到外包商提供的光碟，此舉可能造成準備上線的成品，缺乏足夠時間修改。因此承辦人員更希望委外開發的程式碼，能做到自行管理，看得到專案進度，確認程式開發或檢測報告真假。

實務上，資策會如何運用這套平臺來管理委外程式開發？他們設法促使委外開發的整個環境與流程，都集中到企業能夠檢視的這個整合性平臺上。林君容表示，對於組織的委外承辦人而言，可透過此平臺提供的儀表板，看到專案執行進度、專案規畫、議題走向與溯源，以及需求開發歷程等。同時，在這平臺上，也能管到各項資安檢測。

基本上，專案程式碼一上傳，就會自動資安掃描測試，快速知道提交的程式是否存在問題，讓軟體開發專案從過程的一開始，就能依據檢測報告，進行資安強化。

至於備受各界關注的軟體物料清單（SBOM）平臺，資策會的這套DevSecOps系統也具備。林君容指出，去年底平臺新增這方面功能，讓第三方套件安全問題也能受管理。

因此，即便負責承辦人員沒有資訊背景，同樣能在此看到外包廠商開發成果——可在此執行驗測，並檢視資安報告的真實產出，也就是能掌握開發環境與開發交付成果，而非所有開發成果都隱藏在委外廠商端，難以確認狀態。相反地，承辦人本身如果有資訊背景，可從中檢視外包工程師處理每個議題，新增或更動的程式碼，另一方面，這也如同專家在側，可以學習廠商程式撰寫技巧。

林君容強調，在委外開發時，由於兩間公司具有不同文化背景，可能常因基於禮貌，詢問一次進度之後，之後就不好意思問第二次，或是問到第三次、覺得打擾對方而作罷，但委外業務的執行，可能會遇到對方缺乏當責觀念與行動，且未落實監督機制，因此如能建立開放、透明的溝通管道，將可以帶來相當大幫助。

綜觀上述應用方式，等於替企業進行委外開發管理作業，提供了新的思路，讓有能力的企業也能參考，進而自行設計打造自家的DevSecOps平臺，而資源不足的企業，也能採用這類型的應用服務，促使委外開發管理變得更容易與透明。

資策會展示自家DevSecOps整合工具，當中整合了Redmine、GitLab、Harbor等CI/CD工具軟體，程式碼品質與風險檢測工具SonarQube，網站安全弱點掃描工具OWASPZAP，API整合測試工具Postman，網頁行為錄製與自動化測試工具SideeX，以及測試實證環境。

打破傳統委外開發管理的透明度不足的枷鎖

關於委外管理，過去大家都談到要透明，但如果能即時監看進度、內容、歷程，顯然又提升到更易了解的程度，讓透明化做到更即時、深入，以及全面的狀態。

對此，林君容表示，過往的資訊委外管理透明，通常是指程序透明，例如，在執行選案選商應秉持公開、公正、透明等原則，對於資策會而言，他們開發的DevSecOps整合工具的委外管理應用，讓交付成品生動，所有交付可分散在不同迭代產生，讓承辦人及業務單位人員即時掌握進度與內容，不再是等到交期到了，才會看到的死板板光碟，或是已經沒有足夠時間可修改準備上線的成品。

另一個我們好奇的問題是，乍看這套工具，初期應該不是針對委外應用而來。林君容表示，資策會DevSecOps整合工具原是因應內部需求而打造。由於坊間工具相當多，加上資策會內部的團隊有上百個，而每個團隊都想自建CI/CD，但每個人的方法不同，且每次開設新專案就要重新做，這不僅是重工（重複工作）且將衍生難維護的問題，因此，他們決定建構出這樣的平臺，幫助同仁提升工作效率與程式品質。

後續資策會在內部推動此平臺的應用時，他們的委外廠商也一同加入，過程中他們發現，原來資訊委外管理的需求，並不亞於內部開發管理的需求，此時外包管理的應用才在內部發酵。而且，後續與其他機關單位互動時，也遇到對方指出外包管理是其痛點的情形。

綜合來說，這個平臺起初並非針對委外應用，但資策會從實務經驗中，注意到可為委外開發管理帶來助益的情形。同時，他們也將這樣的成果，以服務形式提供外界使用，林均容表示，資策會目前提供地端與雲端的解決方案，並有開源免費Lite版與付費企業版之分，如果你是小型團隊，或初次導入DevOps的企業開發團隊，可下載開源的Lite版本使用。

至於平臺是否為了委外應用，而增添更多相應管理功能？她表示，目前主要以查核點進度作為監控依據，未來將全面資訊管理儀表化，讓平臺可以更符合資訊委外承辦人員的需求。