果核數位攜手 OpenText 力推軟體開發安全
軟體開發安全的觀念持續演進,從 SDLC 到SSDLC( S e c u r e S o f t w a r e Development Life Cycle),到容器上雲帶動了安全左移,對開發團隊而言,不安全的企業軟體造成的問題造成的傷害遠大於功能不足。iThome 2024 CIO 大調查就發現,導入 DevSecOps 與 AIOps 的企業比去年多了一倍。軟體開發與安全設計必須雙線並進,才能兼具品質與安全性,進而降低企業的資安風險,也正因為如此,果核數位與 OpenText 透過專業服務與完整工具的結合,為企業提供落實DevSecOps 的助力。
串連生態圈、整合 AI 的ValueEdge DevSecOps
OpenText 的自動化測試工具在台灣擁有 8 成市佔率,關鍵就於 OpenText 的策略並非強迫團隊統一開發工具,而是串連整體生態圈。同樣的策略,也展現在以 SaaS 服務形式提供的 ValueEdge DevSecOps 全方位框架。ValueEdge DevSecOps 的功能模組涵蓋策略制訂、敏捷開發和 DevOps、品質檢測、壓力測試、功能測試、版本交付,以及新增的資訊安全,這些功能模組皆具備 AI 能力,而且將所有 DevSecOps 資料全部統合於 ValueEdge Insights 儀表板。OpenText 資深顧問李建宏指出,DevOps 和
DevSecOps 都是冗長工具鏈的整合過程,開發團隊在每個程序會有各自偏好的工具,但這些工具必須經過良好整合才能發揮效益,這也正是ValueEdge 的價值,全方位整合各式各樣的第三方工具如版控和 CI Server,從開源軟體到企業級工具皆涵蓋在內。
舉例來說,以 ValueEdge 整合開發人員的CI Pipeline,可以將 CI Server 的資訊直接帶入DevSecOps 平台,在 ValueEdge 介面就能直接檢視功能測試或資安掃描測試的結果。此外,由於 DevOps 和 DevSecOps 需要不同專業人士的參與,ValueEdge 內建超過 50 種儀表板的樣板可直接套用,滿足開發、資安等不同專家的獨特需求,快速掌握組織內的運作及需要加強之處。新增的 ValueEdge Security 模組屬於 Fortify 生態圈的一環,提供靜態掃描、動態掃描,以及根據組織資安政策的客製化掃描,廣泛支援全球主要的安全規範及超過 30 種開發語言。更重要的是,ValueEdge Security 與 CI/CD 生態圈有廣泛整合,確保對 DevSecOps 的落實。至於全面落實的 AI 能力,OpenText 的 AI 機器人Aviator 採用口語對話提供協助的智慧助理,包括AI 協助將開發功能自動生成 User Story, User Story 自動生成手動測試案例及步驟, 再自動生成口語化自動化測試腳本;或是分析 Defect,協助開發人員判斷功能失敗的原因、影響及建議如何修改。藉由OpenText 的 AI 機器人 Aviator 協助,讓開發測試工作事半功倍!
企業安全威脅分析及對應方法論
資安問題層出不窮,然而面對未知的問題才是最難以應付的事情,因此可以透過威脅建模,讓大家即早識別威脅,並進行妥善的風險處置,更容易使企業提升到期望的資安強度。果核數位資安研發部技術副理蔡龍佑表示,威脅建模沒有標準答案,每家公司的問題和承受能力各不相同,重點在於企業必須討論出需要優先處理的問題,據此建立基準線,定義屬於企業的信任邊界(Trust boundary),再參考方法論來落實。然後再參考使用威脅建模的方法論,如:stride,pasta 等。一般而言第一個步驟是識別資源與元件,例如:資產、參與者、入口點、元件、使用案例、信任級別。接下來,第二個步驟是發掘威脅並製表;第三個步建風險矩陣(Risk Matrix),並根據針對每一項目進行討論規劃設計適當的風險處理機制,最後就是定期追蹤問題,判斷威脅是否已充分緩解。而應用程式本身除了導入安全檢測如:原始碼檢測、網站弱點掃描、滲透測試等。也可以參考 OWASP 的 ASVS 強化應用程式,降低上線前安全檢測造成的弱點修補負擔。蔡龍佑副理也分享了兩個常見的威脅情境。首先是小型製造業,先前由於疫情而採取遠端工作,但也因此讓防線大開而不自知,導致駭客由公司滲透到工廠、由 IT 入侵到 OT(Operation Technology)的狀況。另一個情境發生在金融業,由於核心銀行系統是重中之重,主管機關及相關法規對上雲有所規範,銀行通常先從網路廣告等小型專案試行上雲,但忽略了對外的雲端服務也擴大了銀行的風險邊界;此外,提供給協力廠商的帳密也是常見破口。組織可以提升威脅建模會議成員組成的多元化,因每個人各有專業,儘可能收集大家的想法和情境,包括各種匪夷所思的用法。威脅建模的目的是看到問題及風險,而非立刻解決,因為有些問題未必能解決,唯有先確定企業想要保護的標的,才能將有限的資源做合理的配置。
多雲安全態勢與雲 DevOps 安全管理
雲端安全的問題在於雲上的資產都可能被設定成公開,例如:儲存體(Object Storage)、容器、Kubernetes;此外,雲端帳戶權限過大或未啟用多因素驗證亦是常見問題。據統計,55% 的的雲端資料外洩事件是人為原因,問題多半出在配置錯誤導致破口,而非駭客高超的入侵手法。果核數位資深雲端架構師陳學耕指出,雲環境安全管理的困境來自多帳戶,例如:測試、開發就是不同帳戶,每個帳戶都是各自獨立的雲資源,連使用的網路(VPC)也是隔離的。橘子集團的現況就是最佳例證,由於集團的子公司、分公司眾多,獨立運營環境超過 10 個,使用的公有雲更橫跨AWS、Azure 和 GCP。
身為橘子集團的成員,兼具使用者和服務商的雙重身分,果核數位根據上述經驗歸納出多雲安全運營環境的三大管理目標,首先是持續性安全監控,也就是將安全運營中心(SOC)延伸到雲端進行監看;其次是持續性合規管理,例如:確保雲環境符合 ISO 27001;再則是確保操作安全基準,例如:遵循每家公有雲所提供的配置建議(Best Practices)。
安全工具必須提供從開發到運行(Code to Cloud)的保護,果核數位身為 SOC 服務商,在雲 SOC 資安監控採取了雲原生應用程式防護平台(CNAPP)來偵測分析雲環境的配置錯誤與異常活動。果核雲地整合 SOC 中心提供 7x24 資安威脅監控,運營優勢在於單一雲地資安監控中心、跨多雲資安監控、雲地交叉關聯分析。陳學耕表示,雲 DevSecOps 安全管理必須兼顧八大要點,包括持續監控、雲平台安全配置、IaC 安全、軟體組成安全分析、容器安全、Repo 安全、金鑰安全、弱點管理。果核數位基於八大要點,推出雲端資安健診與合規性檢視服務,確保以 DevOps 開發的現代化應用程式或雲原生應用程式從開發到運行的安全性。