與叡揚資安課程結合並為臺灣市場量身設計多元彈性訂閱模式 ISO 27001: 2022 新規上路 叡揚資安聯手 Secure Code Warrior 助企業實現合規
安全程式能力。叡揚資訊協助企業取得 ISO 認證有豐富經
驗,加上針對開發人員的資安課程備受好評,搭配能提供
課程訓練與檢測團隊能力的 Secure Code Warrior 平臺,
正是企業落實安全開發、取得 ISO 27001:2022 認證的最
佳夥伴。
面對無孔不入的惡意威脅,不少企業都會透過取得 ISO 27001 認證,除可減少公司內部資安漏洞數量,降低遭到駭客入侵的機會外,也同步對外展示落實資安防護的決心。不少政府部門更將 ISO 27001 認證,作為評估供應商的標準之一。而隨著資安事件持續在世界各地爆發,可訴求軟體專案開發初期即納入資安思維的安全開發(Secure Coding)議題,近幾年被認為是降低資安事件的最佳解方之一。
為接軌最新資安趨勢, 國際標準化組織(International Organization for Standardization, 簡稱 ISO) 於 2022 年發 布 「 ISO 27001:2022 」, 其中8.28 項新增的重點為安全程式碼撰寫(Secure Coding )。該條文明訂企業在開發前階段,要求開發者必須具備安全程式碼能力資格,開發階段則需使用安全程式開發技術、禁止使用不安全設計等。至於開發後期階段,則必須達成妥善保護原始碼避免遭受竄改、確保部署過程中之安全等事項。值得一提, ISO 27001:2022 轉版期限為 3 年,企業必須在 2025 年 10 月完成相關準備工作,否則將無法取得ISO 27001:2022 認證,即早部署轉版計劃成為企業應重視的課題之一。
左起:叡揚資訊資安事業處副處長李佳凌、處長范家禎、Secure Code Warrior CSO David McKeough、Enterprise Account Executive Gabriel Altman、叡揚資訊資訊長蘇瑞亨
叡揚資訊資安事業處處長范家禎指出,叡揚在協助企業取得 ISO 27001 認證部分,已累積非常豐富的經驗與技術能量,很高興能與 Secure Code Warrior 深化合作,透過繁體中文化的教材與課程內容,協助更多企業與開發人員了解安全開發的重要性,以及在軟體開發過程中可能面臨的各種威脅與威脅類型。如此一來,企業在取得 ISO 27001:2022 認證之餘,也能在公司落實安全開發的文化,進而提升在商業環境中的競爭力。
Secure Code Warrior CSO David McKeough 表示,新版本的 ISO 27001:2022 重點之一,要求企業必須透過更多管理機制達成安全開發的目的。
在全球各地備受歡迎的 Secure Code Warrior 平臺,已被許多企業用於提升開發人員的安全開發思維,也累積非常多成功案例。在此基礎下結合叡揚資訊的顧問團隊服務能量,絕對是臺灣企業通過 ISO27001:2022 認證的最佳幫手。
Secure Code Warrior 平台內建多種測驗範本(如: OWASP TOP10),可因應需求彈性自訂或調整測驗內容。
叡揚資訊資安事業處副處長李佳凌表示,叡揚資訊推出資安學程多年,目的在協助開發人員提升安全思維,也能提供非常完整的安全程式開發指南。結合 Secure Code Warrior 平臺,可驗證開發者是否具備安全開發的能力,搭配叡揚完整的顧問團隊服務,自然能助企業順利取得 ISO27001:2022 認證,同時達到減少軟體專案漏洞的目的。
測驗結束後.可檢視所有參與者的測驗結果,量化開發人員的能力。
Secure Code Warrior 提供安全程式能力檢測模組,能輕鬆量化開發人員的安全開發能力,甚至企業能將檢測模組應用於面試開發人員的情境,於正式面試前即要求面試者完成安全程式能力測驗!能力測驗模組當然不僅可應用在面試開發人員上,Secure Code Warrior 在 10 月份推出全新的計畫模組( Programme )。 根據圖中內容可以看到,此模組可以結合既有已發佈課程(Courses)與測驗(Assessment)內容,制定屬於特定人員的學習計畫,並且需要完成指定項目才可進到下一關卡。實際應用可作為新進開發人員訓練指引、季度考核資格、稽核人員是否具備特定漏洞知識等用途之工具。
Secure Code Warrior 推出全新的計畫模組,可以結合既有已發佈課程與測驗內容,制定屬於特定人員的學習計畫,並且需要完成指定項目才可進到下一關卡。
落實安全開發概念 降低軟體漏洞最佳方案
過往談到資安防護,多數企業或資安人員的作法,莫過於透過引進防火牆、 IPS 等設備,強化網路閘道端的惡意威脅檢測能力。只是隨著駭客攻擊手法日新月異,傳統資安防護機制已經無法有效防堵,迫使企業開始思考降低漏洞的方法。近幾年全球各地因軟體漏洞未修補,或者軟體開發過程中使用到有漏洞的開發工具,而衍生出眾多災情嚴重的資安事件,正好凸顯出安全開發的重要性。
David McKeough 指出,在消費者體驗備受重視的趨勢下,無論是金融業、製造業、零售業等,某種程度也可被歸類為軟體產業,畢竟唯有提供安全無虞的軟體服務,才能在商業環境中取得有利的地位。
雖然過去幾年全球資安意識提升,不過重心都放在提高資安人員、基礎架構維運人員的資安知識,只是此種作法難以從根本杜絕漏洞發生。而 Secure Code Warrior 平臺能提供一系列的完整培訓課程,逐步提升開發人員的安全意識,透過落實安全開發的策略,達到減少漏洞與弱點的目的。
李佳凌說,在行政院公佈的資通安全法中,雖然要求各級單位除了資通安全專職人員以外之資訊人員、一般使用者及主管,每年都必須接受三小時教育訓練,然而大部分資安專業課程不是通識課程,就是針對基礎架構維運人員所設計。事實上,程式開發人員也要受專業資安課程訓練,才能從軟體開發階段開始就落實資安工作,進而達到提升軟體品質與安全的目的。「由於叡揚資訊與金融產業、政府單位合作多年,所以很早就開始透過多元工具相互搭配,確保軟體專案執行過程中不會有漏洞或弱點。為達成安全開發的目的,我們亦會將各種常見漏洞整理成知識庫,作為開發人員執行軟體專案參考。」
叡揚資訊資訊長蘇瑞亨解釋:「除此之外,在新進人員的訓練部分,我們也會利用 Secure Code Warrior 平臺進行長達一個月培訓與驗證,確保同仁具備足夠資安意識,從源頭開始灌輸安全開發的觀念,才能交付安全的程式碼給客戶。同時也會透過 Secure Code Warrior 進行所有開發人員的大會考,持續精進安全程式能力,並針對優秀同仁鼓勵。」專為臺灣市場量身設計提供多元彈性訂閱模式
Secure Code Warrior 平臺推出至今,已在全球市場累積眾多成功案例,如 Visa 、摩根士丹利、匯豐銀行、 Fiserv 等,且整體成效備受好評,順利提高軟體開發整體品質。以營運總部位於美國的知名國際銀行為例,引進 Secure Code Warrior 平臺之後,程式開發人員在軟體開發階段修復完成的漏洞數量,約是過往的 2-3 倍以上,平均漏洞修復比例達到 47% ,對提升公司商譽與服務品質帶來極大的效益。
范家禎說,由於臺灣經濟結構以中小企業為主, Secure Code Warrior 為展現深耕臺灣市場的決心,特別與叡揚資訊簽訂全新軟體授權模式,提供中小企業、學校、個人等更彈性訂閱模式。除中小企業可訂閱更少數量的授權數量之外,叡揚資訊也為學校、小公司或個人等提供短期訂閱服務,如三個月、六個月、一年等,更可結合叡揚資安學程,滿足學校培育安全開發人才、軟體工程師自我進修等用途。
因應 ISO 27001:2022 法規轉版在即, 叡揚資訊將持續與 Secure Code Warrior 攜手合作,提供多元導入方式與顧問服務,並持續舉辦「安全達人養成計劃暨資安戰士挑戰賽」等,全力落實安全開發的資安藍圖。