果核數位攜手 OpenText 完美演繹如何破解程式漏洞危機

2023/05/15

現今資安威脅與漏洞型態日趨多元，為企業帶來巨大壓力。因此如何有效分配資安資源布局，集中火力抵禦對可能帶有嚴重傷害性的風險，著實至關重要。為此果核數位偕同安全漏洞檢測工具領導廠商OpenText（前 Micro Focus），及 OpenText 的代理夥伴邁達特，在日前聯手舉辦「落實資安防護，杜絕漏洞風險」研討會，期望藉由多面向的論述，指引企業懂得強化防護、降低風險。

OpenText 合併 Micro Focus，將逐步體現一加一大於二之效益成果

OpenText 資深業務協理洪志信表示，今年（2023）二月初 OpenText 完成合併 Micro Focus的程序，此後原屬於 Micro Focus 的產品線，皆被

納入 OpenText 旗下。OpenText 之所以收購 MicroFocus，在於產品與 Micro Focus 幾無重疊，且其偏重 SaaS 業務；而原先 Micro Focus 偏重 Onpremise

授權收入，顯見將來必可發揮優勢互補之綜效。合併後，OpenText 定義八大產品發展方向（智慧內容、商業網路、體驗、網路安全、應用程式交付、應用程式現代化、數位化維運、分析與AI），其中有至少兩項契合本次活動主題，包括網路安全及應用程式交付產品解決方案。洪協理說，企業應導入 DevSecOps，在程式從 Commit、Building、Unit Tests、Integration Testing、Review、Staging 至 Production 的過程，在各 CI/CD 階段執行安全測試，期能及早發現瑕疵並提前修復；否則等到後期才來修正問題，將需重新走一大圈內部流程，恐延緩上線期程並將低生產力。今後 OpenText 將與深具資安檢測專長的果核密切合作；尤其是許多客戶在專案驗收前，皆要求做弱點偵測，確認沒有隱藏風險，此類工作正是果核的強項。另外果核亦是 OpenText 的 MSSP 夥伴，可協助企業開發團隊強化定期弱掃之委外服務，同部滿足專案品質暨符規之檢測需求。

資安是一場資源戰爭，優先投注於關鍵刀口

果核數位軟體開發安全部副理蔡龍佑指出，企業導入安全開發時，經常面臨挑戰，係因流程複雜、人才難找、管理／審計需求繁重所致。建議企業遵循軟體開發安全框架（SSDF），逐一破解前述難題。SSDF 蘊含四大面向。一是組織的前置作業，包括定義軟體開發安全要求、落實角色與職責、實施支持工具鏈、定義及使用軟體安全檢查標準，以打造安全的軟體開發環境。二是軟體的保護，應保護所有形式程式碼免於遭未經授權的存取或篡改，並提供軟體發布完整性的驗證機制，如 SBOM 便是理想的解方。三是製作安全可靠的軟體。需審查軟體設計、驗證是否符合安全要求；但切記現在的安全，不代表以後的安全，未來仍需定期分析程式碼，時時驗證程式是否藏有弱點。四是弱點的應對；資安是一場資源戰爭，因企業的資源永遠不夠，但駭客卻永遠無所不在，故企業應將錢花在最該守護的地方。邁達特技術顧問許弈堂，深入介紹 OpenTextFortify SCA。他說多數人往往偏重網路安全，較少顧慮應用程式安全（AppSec）；但隨著越來越多攻擊手法朝應用程式而來，更把矛頭指向第三方開源套件，足見 AppSec 不容忽視。企業只要善用Fortify，即可利用其 Rulepack 規則包，精準掃描軟韌體的弱點，助力實現堅不可摧的應用程式，避免駭客長驅直入。從修正成本來看，企業越早發現並修復軟體安全問題，付出的代價越輕；而 Bug 與弱點多在程式開發時被撰寫出來，若在此時導入靜態掃描，修正成本自然最低。

Fortify 產品系列涵蓋靜態掃描（SAST）- Fortify SCA、動態掃描（DAST）- Fortify WebInspect，另有鑒於開源軟體安全議題漸受重視，因而整合一些外部 SCA（Software Composition Analysis）工具，據此構築完整 AppSec 拼圖。其中 Fortify SCA靜態源碼檢測工具，除了頗負盛名之外更擁有多重優勢；首先是全面性支援多種語言和框架，也納入Angular、Vue 等眾多常見函式庫。其次是支援獨特的 X-Tier 分析技術，即便單一專案涵括多種語言，仍可全數交由 Fortify SCA 偵測與掃描，且無需拆分。再來它可檢測上千種漏洞或 Bug，兼能挖掘安全與品質問題。

使用正確的工具，並正確的使用工具

本次活動後半段壓軸演說，由來自果核數位軟體開發安全部經理蔡昆達、及果核數位資安部經理曾國韋先後登場。蔡昆達認為「弱點不可怕，可怕的是未知弱點」。不少開發人員對資安的認知未盡正確，想方設法產出零弱點報告，生怕遭到資安單位刁難。其實這般「零弱點」未必為真，應理解自己寫出的程式為何被檢測出漏洞，探索真正原因，再思考如何徹底消弭問題，才不致於讓「零弱點」造成企業不可預期的損失。不可諱言做資安很花錢，舉凡設備、人才、教育訓練、檢測工具、弱掃工具、健診、社交工程監控⋯等，樣樣都得投資。企業花費大筆成本導入各項資安檢測或監控服務，若忽略了公司形象網站、服務性站台的安全性，也許已經提供一個未知弱點的入口給駭客使用而不自知，這些投資將變得毫無意義。在國內企業導入安全軟體開發流程尚不成熟的情況下，系統開發前期可能就沒做好安全需求、威脅建模、風險評估等工作，對於已經進入測試、驗收階段，甚至是已經上線的系統，最能快速見效的資安解法，便是執行網站的黑白箱檢測。商業版本的檢測工具，會有專業人員協助確認工具的可靠度與檢測結果的正確性。如果企業想節省費用而使用免費的檢測工具，則要避免人為「有意」或「無意」的不當操作，而產出「零弱點」報告。因此，除了評估工具是否可靠之外，也需要確認檢測結果是否可信，是不是有誤判或漏判情況，避免因一時疏漏而造成重大損失。最後由曾國韋擔綱演說，闡釋如何用 OWASP SAMM 看軟體開發成熟度。他指出 SAMM 為軟體保障成熟度模型，具可量測、可實作、通用性三大指標。其內含五個業務功能，每個功能中有三種資安實作，每個實作有兩個活動流程，其中又有三種活動成熟度等級，共計 30 個控制項，可用以評估目前組織的軟體開發安全態勢，藉此定義軟體開發的資安目標、實作藍圖。SAMM 以治理、設計、開發、驗證及實施等五項業務功能為主軸，各自展開諸多細膩的控制項，等於是針對一個個特定實作，為企業提供規範性的建議，就像放大版 SDLC，幫助企業循序漸進滿足應用程式開發資安治理需求，再內化成為文化。具體來說，資安是一個沒有終點的旅程，在旅程的開端，企業應先構築 DevOps 現代化基礎建設，再搭配 AppSec 工具不斷驅動改善與成長，在井然有序的節奏下，一步步迎向 DevSecOps 美麗新世界。

報導連結: https://www.ithome.com.tw/pr/156836