果核瞄準DevSecOps與SBOM關鍵議題，與夥伴聯手提出致勝解方

近年資安攻擊事件氾濫，不少企業縱使佈建防火牆、WAF、EDR或SIEM等防禦機制，仍無法倖免於難；係因駭客善用AI或GenAI技術，加速洞悉企業資訊系統弱點，製作高殺傷力的攻擊程式，才讓企業防不勝防。因此各界呼籲企業積極落實DevSecOps、SSDLC，藉由軟體開發者與資安維運者的緊密協作，從源頭修正系統缺陷。

果核數位為響應DevSecOps與SSDLC價值主張，日前攜手新思科技（Synopsys Software Integrity Group）、朋昶數位科技、KPMG等專業夥伴，在高科技重鎮新竹地區舉辦「軟體安全開發x資安佈署」說明會，期盼協助在地廠商加速軟體開發和測試，一併落實資安控管。

果核數位資安營運處處長張懿慶表示，越來越多企業利用CI/CD管線加速實踐DevOps與Security整合，其態勢逐漸升溫；而當前多數開發者為提升交付速度與增進程式功能，大量引用開源套件與函式庫，因而誤觸陷阱或徒留弱點。著眼於此，果核期望結合夥伴力量，共同提出對應的實作建議。

朋昶數位科技產品發展處協理陳昶儒指岀，新竹為高科技聚落，是支撐臺灣經濟成長的重要引擎，因而淪為駭客優先攻擊目標；所以高科技製造企業急需透過軟體安全開發的角度，有效杜絕駭客襲擊。朋昶也為此持續擴大代理範疇，從標準軟體硬體買賣跨足DevSecOps產品與顧問服務經營，並與原碼檢測市場翹楚Synopsys Software Integrity Group 建立夥伴關係。

捍衛軟體開發安全，須掌握闖關要領並善用SAST

果核數位軟體開發安全部資安顧問林秉正率先開講，分享饒富趣味的「軟體開發安全的闖關者」議題。他引述Netflix「今際之國的闖關者」影集指出，開發者與資安人員遇到的情境與影片類似，經常要闖蕩茫茫未知難關。

他將多種情境設計成關卡，分別提出成功闖關建議。例如「原碼檢測的弱點被發現在第三方套件怎麼辦」，建議的解法包括使用適當的第三方套件檢測工具，並評估套件版本有無安全漏洞、侵權疑慮，以及有無修復版本，若沒有，即需評估漏洞風險可否被接受，並著手建立定期審核機制。。至於難度更高的「報告正確性」，建議解方為執行自動化檢測、定期更新規則、每次檢測時應整併已排除弱點、務必保留稽核軌跡...等多面向應對手段。

接棒開講的Synopsys資深銷售工程師楊智程，表示Software Integrity Group主要任務是確保軟體開發安全性，其提供的核心方案之一為靜態分析（SAST），旨在執行脆弱性檢測，驗證各項弱點是否造成資安風險。

SAST之所重要是因開發者身處第一線戰場，不容許因任何疏失造成產線停止、機密洩漏或供應鏈中斷，可謂任重道遠。因應日益複雜的合規要求與攻擊態樣，並且守護公司利益，開發者應將商用SAST工具納入，作為主動防禦軟體漏洞的策略之一，將它整合至CI/CD開發工作流程，發揮遠優於開源SAST或程式碼質量檢測工具的自動化整合、彈性佈署、高精度掃描等綜效，依據ISO 26262、OWASP Top 10、PCI DSS…等基準執行合規性／安全性風險分析，及早修復程式缺陷，確保生產環境軟體安全無虞。

追蹤管理代碼風險，守護資訊系統的「阿基里斯腱」

朋昶數位科技高級工程師陳茂齊，援引Synopsys開源風險分析報告指出，目前各行業使用開源軟體的比例高達96%，平均每家企業近八成程式碼都取材自開源，迫切需要建立良好機制，有效管理潛藏的惡意程式或授權（License）規範衝突。

以出口導向的高科技製造業為例，尤其需要建立軟體組成風險的分析能力，否則若等到向國外政府或客戶提交軟體物料清單（SBOM）時才被檢出缺失，將揹負沈重修復代價，此外也可能面對諸如「軟體相依混淆（Dependency Confusion）」等供應鏈攻擊。如何管理與追蹤此事？他建議採用Synopsys的軟體組成分析（SCA）工具Black Duck，針對專案中的元件執行維運風險（Operation Risk）評級，以利清理隱藏風險，並藉由定期掃描，持續匹配最新安全漏洞。

擔任壓軸講師的KPMG安侯企業管理股份有限公司執行副總經理林大馗，分享如何從重大事件中學習，及如何防範資訊系統的「阿基里斯腱」受傷、因而難以復健。首先他以SWIFT國際結算系統的資安事件為例，提醒企業需留意業務流程風險、系統開發暨API串接風險、網路風險等。

林大馗也提到這些風險背後蘊含許多值得反思之處，像是進行CI/CD時怎麼做覆核作業、有無覆核者權限過大或是角色未能妥適區分的疑慮？現行安全檢核點有無遭到突破的可能？乃至程式裡有無Hardcoded Credential、是否針對API做安全盤點…等問題。

接著他以AI為例演繹阿基里斯腱，強調現今已因AI帶動駭客攻擊手法大翻新，包括從繞道潛伏轉為深度偽裝、從知識驅動轉為資料驅動、從多點突襲轉為精準攻擊、從專家創造轉為智慧製造；而AI的風險成因，可分為學習偏失、人為錯誤、技術缺陷、流程瑕疵、隱私侵害或決策誤用六大類。

與此同時企業亦需慎防自身AI系統遭受攻擊，例如防止ML程式碼被植入惡意代碼。他建議企業應導入Security by Design原則並優化系統開發程序，確實執行系統安全與隱私保護分析、威脅建模、隱私設計控制、安全測試、組態強化、元件更新等基本功。

總括而言，果核與夥伴期盼藉由軟體安全開發、資安佈署等知識與經驗分享，幫助企業強化安全防線，既可順利闖過軟體安全的重重難關，亦可打贏開源戰役、避免代碼中出現隱藏威脅。

加入粉絲團獲取更多資安/活動資訊