“世界上没有完美的程序,只有无所不在的安全漏洞”这句话听起来虽然吓人,却是一语道破企业所面对的头号敌人有多难缠!
移动应用系统(APPs)、云计算、物联网等新科技为人类带来便利生活,加速催化开源软件(Open Source Software;OSS)的应用,使之成为近年来企业开发的热门选项之一。而随着OSS使用的比例越来越高,各种安全漏洞与不断升级的压力也随之而来,让企业们头疼不已。据统计,光是在2018年至2019年短短一年内,开源软件中的安全漏洞总数就增加130%。软件安全顿时成为众多企业都须面对的重要议题,尤其是在不容许出错的金融机构、政府与国营业务更是如此。
Forrester今年公布一项安全研究报告,指出在网络攻击的议题中,高达7成5的攻击是针对应用系统,其中超过4成的外来攻击是来自于软件安全漏洞,而约有3成5的攻击发生在网页应用系统。
安全危机无所不在!早期发现、早期治疗
安全危机无所不在,但就像医学常识告诉我们的“早期发现、早期治疗”,早期发现的治愈效果和花费成本绝对比亡羊补牢更经济实惠。
连续三年被Gartner评选为软件安全检测领导者厂商Checkmarx,拥有强大的源码检测解决方案。根据多年服务客户的经验,Checkmarx亚太区总经理李子聪指出,不同的客户来自不同行业,开发状况与需求不尽相同,最常遇到的问题是需要一套自动化的系统、内部安全人员不足,以及对“第三方工具集成”殷切需求。
以中国领导网络厂商为例,其企业内源码的数量非常庞大,却无足够工程师检测,虽有自家研发的检测工具,但扫描结果并不准确,需要自动化的系统来协助;对此,Checkmarx提供自动化扫描系统、定制化服务,成功解决公司人力不足与精准扫描的问题。
另一间澳洲大型金融企业则是一直无法得到公司内部安全团队和研发团队的支持进行白箱测试,如何修复层出不穷的源码漏洞与误报,便成为他们的烫手山芋;为解决客户问题,Checkmarx耗时18个月的时间从头开始确认需求、协助导入产品,成功让客户容易找出容易使用、并能集成相关第三方工具的检测解决方案。
对于上述两个案例,李子聪总经理分享,通过源码安全检测集成方案来识别、关注和修复软件源码的安全漏洞,是最直接且省时省力的做法。
使用外部检测工具时,客户最担心的问题不外乎是系统兼容、对现行操作系统的冲击。对此,李子聪总经理认为企业“可以完全放心”,因为自动化源码安全扫描,属非入侵性扫描分析程序源码,并不会影响线上运行的应用系统。Checkmarx检测工具,能自动编译源码,客户仅需提供源码即可快速准确的扫描,无需编译器(Complier)的辅助,且能支持市面上常见的程序语言和开发框架,扫描速度快而精准。所以客户的接受度普遍很高,首席信息官也更加愿意接受这类早期检测方案。
“发现问题”还不够,“解决问题”才是重点
信息软件领导厂商睿扬信息安全业务处处长范家祯处长认为,软件世界里,速度不是重点,快而安全才是根本。若能在软件开发初期导入,于SDLC(系统发展生命周期)初期就找到问题,其解决问题的成本是最低的,也能降低安全漏洞产生的风险。
范家祯处长指出,从睿扬过去在安全领域中十几年的经验,企业时常面临安全风险议题,而客户最需要的就是一套简单好用、容易上手,而且扫描报告准确的检测工具,但这只是第一步,接下来是“修复”的重头戏。通过源码检测工具找到精准的最佳修复点,加速修改弱点,企业可以更加专注在核心业务中,安全问题交给检测工具。对客户而言,它需要的不只是检测工具而已,更重要的是技术团队的支持与服务。
睿扬信息在台湾市场与Checkmarx合作超过七年,通过长期观察,范家祯处长十分肯定这家以色列公司的研发实力。除了本身强大的检测能力之外,Checkmarx技术团队也致力于不定期提供更新版本,以因应程序语言的进步以及安全风险的演变,使客户不会因开发语言新版本的推出而受限。此外Checkmarx与睿扬信息技术团队非常重视台湾客户,因此定制本地化中文操作接口,对客户而言更是使用上的一大福利。
一般而言,应用系统的开发会持续一段时间,期间也应不定期进行检测。Checkmarx提供完整检测(Full Scan)或异动检测(Incremental Scan)二种模式,让客户可依实际需求选择;其检测项目高达700种弱点清单、涵盖超过20种开发语言,可利用默认检测集合事前规划各单位检测目标;而除了详列检测结果,Checkmarx也提供最佳修复建议,对于关联的程序代码找出共同调用结点,有效加速弱点修复效率。睿扬信息则可通过多年的安全程序开发导入经验,协助各大产业客户进行产品导入、规划及完整的售后顾问服务。
当软件无所不在的时候,软件安全就是一切
“当软件无所不在的时候,软件安全就是一切”范家祯处长多年来观察到,大多数企业中程序开发人员与安全人员的比例悬殊,然而安全工作不能再只交给少数的安全人员,正确的程序开发观念应是每位员工的共同认知。通过线上安全学习平台(Codebashing),提供开发人员即时、场景式的程序安全线上训练课程,在程序开发流程的初期即创建忧患意识;除了学习平台,Codebashing也是开发人员修复程序代码的随身虚拟顾问,当Checkmarx源码检测到弱点时,开发人员可在第一时间查询弱点的说明,或进一步至学习平台了解弱点的原理与其修复概念。
根据Gartner的预估指出,2019年全球软件安全的市场规模约15.5亿美元,但到了2030年将超过30亿美元。显见市场需求之庞大,许多软件安全检测厂商纷纷抢食大饼,但要在众多竞争者脱颖而出,除了不断升级、强大自家产品之外,更重要的是检测工具必须“容易使用、可靠可信、弹性化”,恐怕才是让客户愿意买单的决胜关键。
在“安全即国安”、数字转型的概念下,无论是金融企业、网络公司、甚至政府机构都是源码检测的首要对象,尤其金融企业须更重视合规与安全议题。范家祯处长再次强调,善用工具就能在开发初期找出问题点,降低改善的时间、也最能节省成本,帮助企业提高其业务核心价值及降低风险。对此,培养社会的安全意识更为重要,除了加强安全训练,也可以开始跟内部流程集成,才能对软件开发安全做到最周全的把关。