雲力橘子技術開發二部資深經理蔡昆達、雲力橘子資訊安全部主任李俊廷、OpenText資深技術顧問李建宏、雲力橘子技術開發二部資安顧問林秉正
隨著資安事件頻傳,使各界更加重視DevSecOps議題。許多企業期望將立即性威脅檢測及回應機制融入DevSecOps流程中,藉此在加速交付軟體的同時,亦能確保安全性。為此雲力橘子偕同OpenText、邁達特數位等夥伴,於日前舉辦「DevSecOps革新:開創全面威脅檢測與快速響應的新時代」研討會,藉由相關案例與工具的介紹,引導企業落實自動化安全監控與威脅檢測,進而制定高效的事件響應策略。
OpenText臺灣暨香港總經理Steven Lee表示,現今各行各業均將自己視為軟體公司,因為所有企業都需要有自己的應用程式和網頁來協助營運,且由於市場變動加劇,所以必須盡力縮短軟體開發週期。但與此同時,假使軟體出現品質或資安問題,後果不堪設想。因此OpenText運用AI技術強化DevSecOps方案的內涵,幫助企業快速完成軟體開發,同時間也能提升軟體品質並防止資安漏洞。
雲力橘子資深經理Ryan Lee指出,DevSecOps為開發、安全、維運三者的組合。持平而論,要做好DevOps已不容易,如今納入資安,且需避免拖累開發效率、兼顧安全面向並確保最終順利維運,確實有難度。因此雲力橘子透過本次研討會分享眾多實務經驗,涵括安全部署的注意事項、檢測後的弱點管理面向,及如何透過AI加速實踐DevSecOps,盼能給予企業啟發,讓DevSecOps旅程更暢行無阻。
AI工具助陣,有效管理軟體安全開發流程
雲力橘子技術開發二部資安顧問林秉正率先開講,闡釋弱點管理的困境與突破。他觀察到隨著時序推移,客戶提問的重點出現變化,從早期「怎麼修」、中期「怎麼閃」演變為現今「怎麼樣更好」。
所謂「怎麼修」,意指客戶認真詢問如何修復安全弱點,表現出對技術方案的強烈追求。無奈弱點修復難題不少,如掃描耗時、時間緊迫、上線壓力等,導致部份客戶轉而關注「怎麼閃」,目標著重放在專案上線,盡可能找方法避免弱點發生。幸而後來伴隨AI工具發展、可望降低弱點修復的技術門檻,加上此時許多企業急欲解決管理問題,於是探詢「怎麼樣更好」,意即如何有效管理軟體安全開發流程。
他建議企業把安全「左移」到適當階段,以雲力橘子做法,便是在建置階段導入自動化掃描,力求及早發現並解決弱點。欲實現安全左移有三大前提,包含檢測工具必須直接整合至IDE、能夠支援CLI、且與CI/CD工具搭配使用,如OpenText Fortify即可同時滿足三項要件。
OpenText資深技術顧問李建宏接力發表演說,分享AI助理如何對DevOps生命週期管理產生助力。他表示OpenText的DevOps AI平台名為SDP(Software Delivery Platform),它貫穿從Plan、Build、Test、Deliver到Run的完整SDLC週期;截至目前SDP已推出SaaS版,預計明年初(2026)推出落地版。
值得一提,上述SDLC流程中的所有功能都已導入GenAI,讓多種角色都能因OpenText Aviator智慧助理而受益。例如AI能協助BA做需求功能描述,協助Developer將需求轉為用戶開發故事,協助QA生成手動測試案例及自動化測試腳本,也協助Developer和QA解決缺陷(Defect);前面提到的所有角色,皆可基於AI技術、利用影片方式生成測試步驟。
落實安全部署,並積極推動安全監控技術革新
進入研討會後半場,來自雲力橘子的兩位專家輪番登場。其中雲力橘子技術開發二部資深經理蔡昆達,將演題設定為「安全部署的注意事項」。他首先提供一項值得參考的DORA報告,起源於Google旗下DevOps研究與評估組織,其中定義四大軟體交付指標,包含更新準備時間、平均部署頻率、變更失敗率、平均復原時間,依評分高低,將各個DevOps團隊區分為菁英、高階、中階與低階層級;目前臺灣多落在中或低階,逐漸邁向DevOps自動化的串接結構。
他認為安全部署在整個DevSecOps流程裡扮演「分水嶺」角色。針對CI過程,即便整合程序出狀況,問題都在內部,不會讓對外服務發生異常;但如果過了部署門檻,便成為對外提供的服務,此時一旦出狀況,可能導致企業遭受損失或陷入營運中斷處境,顯見安全部署極為重要。若企業想做好此事,建議應注重變更內容的安全性與一致性,採取漸進式曝光部署模型、依執行結果逐步擴大範圍,在部署的每個階段前先確認系統通過健康檢查,以及假設部署過程中偵測到異常或錯誤、應立即停止部署並進行系統回滾。
另外企業應搭建開發、資安與維運三方協作機制,並致力打造DevSecOps Feedback Loop,將安全回饋到開發及營運的每個階段,形成快速迭代、持續改善的正向循環。
擔任壓軸講者的雲力橘子資訊安全部主任李俊廷,分享如何實現安全監控的技術基礎。他強調資安監控的主要目的,是為了防止資料外洩、駭客攻擊、勒索軟體等有害行為,避免重大資安事件發生而造成企業服務中斷。
惟隨著雲端、AI等技術加持,導致駭客攻擊日新月異,更加讓人猝不及防。建議企業依事前(收集與分析資安威脅情資)、事中(透過SIEM整理分析日誌+符合SOC關聯規則觸發案件)與事後(交付SOC監控服務報告+專業顧問建議改善資安環境)等完整構面的SOC監控中心,再以此為基礎,融合最新技術趨勢以增強監控能量。例如在事中導入SOAR,自動預防和回應網路攻擊。
總括來說,雲力橘子藉由本次研討會接連闡述弱點管理、AI助理、安全部署及安全監控等多重心法,期盼協助企業打造安全與效能兩者兼顧的最佳DevSecOps架構。
