LINE的服務持續推陳出新,為用戶帶來生活便利和使用樂趣,各項服務自開發到上線的過程,透過開發與資訊安全團隊的密切合作,確保服務安全無虞後才會正式對外上線。
為了能提升開發團隊的資安技能及全體員工在資訊安全上的認知,LINE集團內部於今年開始對內部員工推出 「LINE Class線上學習平台(簡稱LINE Class)」,以資安課程打頭陣,由LINE GrayLab資安研究室成員們負責包辦LINE Class平台的開發及設計工作。
易位思考,為開發團隊夥伴植入資安DNA
LINE服務的開發週期包含設計、實行、驗證、上線共四階段,從最初的設計階段就以積極預防來提升資安等級視為首要之務,有助於減少資安團隊在驗證階段耗費的人力,進而確保服務的準時上線。
根據LINE 資安團隊統計,驗證階段最常發現的資安漏洞形態就是跨網站指令碼(Cross-site scripting;XSS),其次是資訊洩露(Information Leakage)。GrayLab資安工程師張埈豪說明,這兩種漏洞都是存在多年的問題,尤其XSS更是駭客入門的第一個學習標的,只要了解運作原理就能輕易攻擊。
而增強開發人員的資安技能,就成為LINE Class的第一項使命,以案例進行教學更是課程設計的重點之一。例如:“ Security WARGAME”提供一個虛擬環境,可以模擬駭客的入侵,類似國外與台灣的駭客競賽(DefCon、HITCON),讓開發人員扮演駭客來解題,從攻擊的角度理解如何防禦,同時設有排行榜來激發員工參與遊戲、動手實作的樂趣。
擴大受眾,持續強化全員資安意識
目前,LINE Class的資安課程包含資安基礎課程、道德及法遵、個資隱私、程式安全等類別,每項課程完成後都有簡單的問答測驗來確認學習成果。而每個主題的課程涵蓋內容廣泛,以資安基礎課程裡的密碼主題為例,就包括如何制定強度足夠的密碼、強密碼和弱密碼的辨別、忘記密碼的處理程序,以及如何保護自己的電腦與帳號等內容。
張埈豪更指出,會構思設計出LINE Class是希望協助同仁以最快速學習、理解課程內容,因而在設計面特別著重在直覺好用、富含趣味性與便利性的介面,尤其資安課題是全體同仁都應該持續強化、精進的基本認知,因此GrayLab將在下個階段的目標中與資安中心、開發者關係與技術推廣部、IT團隊共同合作,致力把資安課程推廣至一般員工的教育訓練。
因應疫情,許多國家都採取居家工作的措施,透過LINE Class就能提供不受地點限制的教育訓練課程。以資安課程成功跨出第一步的LINE Class,現已支援英文、日文和韓文共三種語言,中文版也即將上線,也因應LINE服務所在地國家的法規差異,以及不同部門需要了解的資安面向等,將持續更新及擴增課程內容,可望成為LINE在資安教育訓練的最大助力。
熱門新聞
2024-08-14
2024-12-22
2024-12-20
2024-12-22