果核數位攜手OpenText，完美演繹如何破解程式漏洞危機

現今資安威脅與漏洞型態日趨多元，為企業帶來巨大壓力。因此如何有效分配資安資源布局，集中火力抵禦對可能帶有嚴重傷害性的風險，著實至關重要。

為此果核數位偕同安全漏洞檢測工具領導廠商OpenText（前Micro Focus），及OpenText的代理夥伴邁達特，在日前聯手舉辦「落實資安防護，杜絕漏洞風險」研討會，期望藉由多面向的論述，指引企業懂得強化防護、降低風險。

OpenText合併Micro Focus，將逐步體現一加一大於二之效益成果

OpenText資深業務協理洪志信表示，今年（2023）二月初OpenText完成合併Micro Focus的程序，此後原屬於Micro Focus的產品線，皆被納入OpenText旗下。OpenText之所以收購Micro Focus，在於產品與Micro Focus幾無重疊，且其偏重SaaS業務；而原先Micro Focus偏重On-premise授權收入，顯見將來必可發揮優勢互補之綜效。合併後，OpenText定義八大產品發展方向（智慧內容、商業網路、體驗、網路安全、應用程式交付、應用程式現代化、數位化維運、分析與AI），其中有至少兩項契合本次活動主題，包括網路安全及應用程式交付產品解決方案。

洪協理說，企業應導入DevSecOps，在程式從Commit、Building、Unit Tests、Integration Testing、Review、Staging至Production的過程，在各CI/CD階段執行安全測試，期能及早發現瑕疵並提前修復；否則等到後期才來修正問題，將需重新走一大圈內部流程，恐延緩上線期程並將低生產力。

今後OpenText將與深具資安檢測專長的果核密切合作；尤其是許多客戶在專案驗收前，皆要求做弱點偵測，確認沒有隱藏風險，此類工作正是果核的強項。另外果核亦是OpenText的MSSP夥伴，可協助企業開發團隊強化定期弱掃之委外服務，同步專案品質暨符規之檢測需求。

資安是一場資源戰爭，優先投注於關鍵刀口

果核數位軟體開發安全部副理蔡龍佑指出，企業導入安全開發時，經常面臨挑戰，係因流程複雜、人才難找、管理／審計需求繁重所致。建議企業遵循軟體開發安全框架（SSDF），逐一破解前述難題。

SSDF蘊含四大面向。一是組織的前置作業，包括定義軟體開發安全要求、落實角色與職責、實施支持工具鏈、定義及使用軟體安全檢查標準，以打造安全的軟體開發環境。二是軟體的保護，應保護所有形式程式碼免於遭未經授權的存取或篡改，並提供軟體發布完整性的驗證機制，如SBOM便是理想的解方。

三是製作安全可靠的軟體。需審查軟體設計、驗證是否符合安全要求。但切記即使目前未發現安全風險，不代表未來仍無資安風險，因此組織應定期進行安全分析與安全檢測（如：原始碼檢測、弱點掃描、滲透測試），時時驗證應用程式是否藏有安全弱點；四是弱點的應對，應用程式運行期間應持續進行監控，以確保運行狀況符合系統預期。最終，資安是一場資源戰爭，因企業的資源永遠不夠，但駭客卻無所不在，故企業應思考短中長期的資安規劃，將有限的資源進行高效的運用。

邁達特資安顧問許弈堂，深入介紹OpenText Fortify SCA。他說多數人往往偏重網路安全，較少顧慮應用程式安全（AppSec）；但隨著越來越多攻擊手法朝應用程式而來，更把矛頭指向第三方開源套件，足見AppSec不容忽視。企業只要善用Fortify，即可利用其Rulepack規則包，精準掃描軟韌體的弱點，助力實現堅不可摧的應用程式，避免駭客長驅直入。

從修正成本來看，企業越早發現並修復軟體安全問題，付出的代價越輕；而Bug與弱點多在程式開發時被撰寫出來，若在此時導入靜態掃描，修正成本自然最低。

Fortify產品系列涵蓋靜態掃描（SAST）-Fortify SCA、動態掃描（DAST）-Fortify WebInspect，另有鑒於開源軟體安全議題漸受重視，因而整合一些外部SCA（Software Composition Analysis）工具，據此構築完整AppSec拼圖。其中Fortify SCA靜態源碼檢測工具，除了頗負盛名之外更擁有多重優勢；首先是全面性支援多種語言和框架，也納入Angular、Vue等眾多常見函式庫。其次是支援獨特的X-Tier分析技術，即便單一專案涵括多種語言，仍可全數交由Fortify SCA偵測與掃描，且無需拆分。再來它可檢測上千種漏洞或Bug，兼能挖掘安全與品質問題。

使用正確的工具，並正確的使用工具

本次活動後半段壓軸演說，由來自果核數位軟體開發安全部經理蔡昆達、及果核數位資安部經理曾國韋先後登場。

蔡昆達認為「弱點不可怕，可怕的是未知弱點」。不少開發人員對資安的認知未盡正確，想方設法產出零弱點報告，生怕遭到資安單位刁難。

其實這般「零弱點」未必為真，應理解自己寫出的程式為何被檢測出漏洞，探索真正原因，再思考如何徹底消弭問題，才不致於讓「零弱點」造成企業不可預期的損失。

不可諱言做資安很花錢，舉凡設備、人才、教育訓練、檢測工具、弱掃工具、健診、社交工程監控…等，樣樣都得投資。企業花費大筆成本導入各項資安檢測或監控服務，若忽略了公司形象網站、服務性站台的安全性，也許已經提供一個未知弱點的入口給駭客使用而不自知，這些投資將變得毫無意義。在國內企業導入安全軟體開發流程尚不成熟的情況下，系統開發前期可能就沒做好安全需求、威脅建模、風險評估等工作，對於已經進入測試、驗收階段，甚至是已經上線的系統，最能快速見效的資安解法，便是執行網站的黑白箱檢測。商業版本的檢測工具，會有專業人員協助確認工具的可靠度與檢測結果的正確性。如果企業想節省費用而使用免費的檢測工具，則要避免人為「有意」或「無意」的不當操作，而產出「零弱點」報告。因此，除了評估工具是否可靠之外，也需要確認檢測結果是否可信，是不是有誤判或漏判情況，避免因一時疏漏而造成重大損失。

最後由曾國韋擔綱演說，闡釋如何用OWASP SAMM看軟體開發成熟度。他指出SAMM為軟體保障成熟度模型，具可量測、可實作、通用性三大指標。其內含五個業務功能，每個功能中有三種資安實作，每個實作有兩個活動流程，其中又有三種活動成熟度等級，共計30個控制項，可用以評估目前組織的軟體開發安全態勢，藉此定義軟體開發的資安目標、實作藍圖。

SAMM以治理、設計、開發、驗證及實施等五項業務功能為主軸，各自展開諸多細膩的控制項，等於是針對一個個特定實作，為企業提供規範性的建議，就像放大版SDLC，幫助企業循序漸進滿足應用程式開發資安治理需求，再內化成為文化。

具體來說，資安是一個沒有終點的旅程，在旅程的開端，企業應先構築DevOps現代化基礎建設，再搭配AppSec工具不斷驅動改善與成長，在井然有序的節奏下，一步步迎向DevSecOps美麗新世界。