技術專欄
進入萬物皆聯網時代,加上人工智慧(AI)技術日趨成熟,驅使各個產業積極推動數位轉型;隨著企業界不斷追求升級進化的浪潮,連帶促使軟體開發模式產生變化,不僅使得DevOps因而盛行,且緊隨安全「左移」被廣泛認可,更帶動DevSecOps崛起、 蔚為眾多企業數位轉型過程中賴以保障應用安全的關鍵基礎。
DevSecOps 不僅有助於企業更快速、更安全地將產品推向市場,也同步加速數位經濟的發展;換言之,「軟體安全」已在速度與品質上發揮巨大影響力,牽動企業數位轉型進程的快慢。
鑒於此,致力提供企業全方位數位轉型解決方案的MetaAge 邁達特(更名前:聚碩科技),決定於與新思科技(Synopsys)加強合作,期望透過Synopsys 應用程式安全解決方案的代理銷售,協助企業加速實踐軟體安全,在創新轉型的旅程大步前行。
新思科技軟體品質與安全部門高級安全架構師楊國梁表示,DevSecOps 對於企業的重大意義,並不僅是引入一套工具,而是建立一個融合開發、安全及營運理念以創建解決方案的系統方法。因此在實作DevSecOps 的過程,需要將人員、流程、技術、工具徹底結合起來,從內到外強化應用體質,進而能夠靈活地防禦各種潛在威脅。
為此新思科技基於長年累積的實務經驗,歸納出一些建議,希冀幫助企業以更高效率落地DevSecOps,再順勢推動產業數位轉型,更快踏上高質量發展的路徑。
以MetaAge 邁達特(更名前:聚碩科技)代理Synopsys 應用程式安全方案的其中一項產品Coverity 為例,其主要功能在於靜態應用安全測試(SAST),堪稱企業運用得最廣泛的「白箱」安全工具;它可助力企業落實大規模靜態分析自動化,讓開發及安全團隊能夠提前在SDLC 早期解決安全與品質缺陷,並且追蹤和管理整個應用組合的風險,輕鬆確保符合安全和編碼標準。
至於另一項在近年廣獲好評的重要產品,則為Synopsys 的開源檢測工具「Black Duck 軟體組成分析(SCA)」。
2020年為開源的分水嶺之年。其實早在COVID-19 疫情爆發之前,數位轉型風潮即已蓄勢待發並加速,越來越多的傳統企業誓言蛻變成為軟體公司;伴隨此一趨勢演變,多數企業都力求縮短軟體開發環境的發佈週期,導致開發團隊重度倚賴開源技術來加速創新,迄今使用度已到達前所未見的頂峰。
持平而論,SCA並非大家陌生的技術,然而在過去幾年,儘管企業採用開源技術的比重日益攀升,反觀相對應的安全管控,似乎未能同步跟進;據Gartner 估計,超過七成應用程式,皆蘊含因為使用開源技術而衍生的缺陷。到了近期,由於Apache Log4j驚傳漏洞,嚴重到「僅憑一串指令就能入侵伺服器」,影響範圍甚至擴及 Apache Log4j 2 當中Logging Library 的諸多版本,就連微軟遊戲Minecraft、蘋果 iCloud、遊戲平台Steam、推特(Twitter) 等大型服務,乃至ElasticSearch、Elastic Logstash、Redis 等採使用該元件,因而面臨駭客攻擊風險,才讓各界意識到忽視SCA的後果竟是如此沈重。
據新思科技發佈的「2021年開源安全和風險分析」報告(OSSRA)指出,開源是當前所有行業絕大多數應用程式的基礎,因此經由Log4j震撼教育,企業開始意識到需要費盡心思來管理開源風險。
這份OSSRA 報告,具體揭示了許多急待補強的軟體安全盲點:
所有經過稽核的行銷科技類公司,其所使用的代碼庫都包含開源,包括客戶關係管理系統(CRM)與社群媒體。 其中95%的行銷科技代碼庫均存在開源漏洞。
98% 的醫療保健行業代碼庫包含開源,其中有67%的代碼庫存在安全漏洞。
97% 的金融服務/金融科技行業代碼庫包含開源,其中超過六成的代碼庫存在漏洞。
92% 的零售和電子商務行業代碼庫包含開源,其中高達71%的代碼庫存在漏洞。
在開源技術的日漸普及的前提下,加上近期因開源漏洞而衍生的網路攻擊事件頻傳,顯見企業需要借助SCA,針對開源組件進行有效管理,避免在軟體開發流程中引用不安全的組件,才足以避免接踵而來的資安風險。
總括而論,新思科技將針對軟體安全議題,持續加大投資與研發的力道,以期提供優質的工具,協助企業的開發團隊,更快速、更安全地發展各項創新軟體應用;與此同時,MetaAge 邁達特(更名前:聚碩科技)亦將與新思並肩作戰,共同協助企業加速落實軟體安全目標。
如有任何相關需求,歡迎與我們聯繫
