論壇文章
【資安工具專欄】強化源碼檢測 日盛銀行為客戶把關
下一篇 - 【人力資源專欄】談二代健保下薪資保費之計算
前往目錄

【資安工具專欄】強化源碼檢測 日盛銀行為客戶把關

撰文 | 叡揚資訊 行銷總處

一分鐘看問題

預期目標

  • 預期效果是能快速精準地找出網站程式弱點,提供有效直接的解決方案,才能在最短時間內,投入最少人力,就能提升交易網站的資安強度。
    預期目標有兩項:
    (1) 定期全面的檢測公司所有交易網站。
    (2) 提供開發人員開發過程的檢測工具,提升開發品質。
    希望導入及使用範圍:先定義在交易網站平台,包括網路銀行、企業金融網、網路 ATM、 行 動 銀 行、FFDI 及 FXML等,日後再視需求逐步擴展到其他內部
    系統。

評價

  • 迅速,涵蓋完整的程式語言,檢測報告準確,弱點敘述詳細,積極的顧問服務,完整的訓練課程。
  • 定義檢測條件,可客製化需求,及更準確的確認弱點及應排外項目。開發輔助工具,整合到 VisualStudio 開發工具,作為開發過程的品質檢測環節,提升開發品質

根據 CERT/CC 的統計,應用程式發現的安全漏洞數目一直處於高度的成長,而 Microsoft 的安全情報報告、IBM X-Force 趨 勢及風險報告也都強調網頁應用程式為最需正 視資安問題之一,為避免這些漏洞所造成的威 脅,原始碼檢測是建構及驗證網頁應用程式安 全最有效的方法之一。

與叡揚資訊合作導入Fortify SCA 程式碼安全檢測工具

「實際上,我們一直有在事前的預防這方面規 劃了三個面向去交叉驗證交易網站的安全性, 為白箱、灰箱及黑箱測試。」日盛銀行資訊 處金融系統部金融電子商務經理周信強笑笑 地說,為了因應日益嚴謹的資安政策趨勢,尤其達到電子商務交易的安全、完整及確保 客戶權益的目標,故與叡揚資訊合作,導入 Fortify SCA 程式碼安全檢測工具,以更積極 主動的態度去面對不斷創新駭客攻擊的挑戰並更加完善網站交易的安全。

有鑑於日盛銀網站已建置逾12 年, 且採 Pure Microsoft 的開發策略,隨著Microsoft 開發工具的演進,網站歷經各階段不同程式 語言的轉換,但是大部分的程式碼安全檢測 工具都有語言版本的限制,增加引進的困難 度,「考量到對於ASP 及VB 的支援、檢 測效能與顧問服務,故最後決定委由叡揚資 訊協助導入Fortify SCA 在最短時間內獲得 Domain-Know-How 及融入公司運作。」周經理說。

價格+功能評比+合作廠商=決定關鍵

不諱言地,對於大部分組織來說,源碼檢測 著重在營運風險的降低,而非獲利的創造,「所以在評估時會對成本控制更為謹慎,避 免不必要的支出。」擁有11 年資歷的周信 強經理強調,目前市面上有許多的檢測工 具,各家效能跟價格落差很大,要如何挑選 出符合自身組織的檢測工具的確是一個難 題,故如何在成本與品質上取得平衡,是此次評估重點,「也就是說,價格並非是唯一 考量,功能評比效能更重要,其次還有合作 廠商之專業服務能力與對金融業環境之熟悉,這三環缺一不可,如此才能建立一個完 整的流程與機制」。

人力精簡 故選商更重要

廠商之專業及服務才是根本。價格不是首要因素,評比內容 如功能、效能、廠商之專業及服務才是根本) 故先定義採購目標( 成本、功能需求、專案時程), 市場產品資料蒐集、資格審查、邀商DEMO,確認最後評比廠商,進行實作演練及報價, 最後決定採購產品

之所以會如此重視合作廠商之專業服務,乃因資訊處人力偏屬精簡,開發人員不但必須負責需求開發及專案建置,尚須兼顧源碼檢 測,而源碼檢測報告的產出只是第一步,其 最重要之關鍵為後天人工改善應用程式之弱 點,在如此消耗大量人力之下,周經理也直言「剛接觸時,大家對於源碼檢測之機制, 一定是處在摸索階段,所以設定的目標不僅是採購一套產品,更重要的是建立一套完整 的SOP 流程圖,故需要叡揚團隊提供有效直 接地解決方案及教育訓練等輔助,方能縮短檢測及摸索期,能更精準的進入運作軌道。」

「顧及成本、效能與後續服務,我們大概花 了半年的時間來作評估,最後篩選出來兩家 來評選,並請廠商來做產品DEMO 實做、 測試報告及提供看法建議,最後經全方位衡量下,我們決定選擇叡揚團隊!」在完成採購流程及軟硬體建置後,請叡揚團隊引導完成整套的源碼檢測流程,包括初次測試、 弱點討論及過濾,定義排外條件;第二次檢測,確認弱點及應改善項目,提供改善建議,執行改善開發;最後則是比對前後次檢測報告差異,確認檢測執行成效。「整套流程下來,讓同仁實際體驗源碼檢測,並建立資安概念。」周信強經理謹慎地說,營運風險的管理,相對之下是比較隱而不見,但是一旦有問 題就不是救火隊來撲個火就沒事,尤其現在又有個資法需遵循,故當在執行源碼檢測時,不 但希望完護資安這道牆;實際上,更希望從源 頭做起,讓開發同仁可以從第一線就能架構資 安防護觀念,長期下來不但可以節省人力與時 間的成本,並且維持著一定的檢測品質。

執行結果作為KPI 具體檢測報告更清楚 

目前日盛銀行以網銀為驗證項目,對於資訊處來說,以往講再多,業務單位都很難體會資安 重要性,而輕忽對資安的人力資源之投入,透過Fortify 來架構標準SOP 後,將源碼檢測植 入營運管理流程運作,讓開發人員有更明確的規範可依循及參考,並以執行結果作為KPI 的量化評量因子,透過具體檢測報告向營管單 位說明目前網站的安全性及應改善的項目與預估,更容易取得業務單位的支援。

工具是死的 廠商服務才能滿足需求

「工具是死的,還是需要以人工搭配自動化 檢測工具才能互補有無!」周經理解釋說 明, 對於弱點定義,Fortify 以資料庫為基 準,嚴謹比對源碼內容並產出測試結果,可 是有些防護措施不在資料庫的定義範疇內, 但已經過灰箱及黑箱檢驗並無風險,所以開發人員必須和顧問協調後,確認是否要納入 排外規則;其中會因立場與認知差異,有不同的看法,「在考量成本與效益之下,不可能照單全收、全部都改,畢竟這可能會產生 不必要的人力時間成本之耗費」周經理說, 在這裡也感謝叡揚可以針對一些爭議處,持 續協調找出辦法,逐漸消彌僵持點。

最後,周信強經理也感謝團隊同仁全力配 合,「第一年一定是最辛苦的,相信這一步站穩之後,藉由經驗與學習累積,可以提升開發品質,並做好資安防護,達到雙贏之目的。」