科技報橘:https://buzzorange.com/techorange/2021/01/26/starlux-airlines-devsecops/
星宇航空將「DevSecOps」內化成企業文化,以提供消費者高品質且安全的服務。(圖片來源:TechOrange)
星宇航空以高端精品的形象,在 2018 年成立初期就備受市場矚目,並培養出一群忠實粉絲。而星宇也不辜負消費者期待,持續以高規格、高標準來打造飛航軟硬體設施與服務,讓消費者在進入網站瀏覽、訂票的各種操作體驗中,同樣留下高品質、快速且安全的印象。對此,星宇航空在系統建置初期便嚴格執行資安檢測,降低網站遭受惡意攻擊的風險,保護消費者個資。
面對市場競爭變化快速,星宇航空不僅採取 DevOps 的開發與部署流程,以更快速推出應用服務,更要實現「DevSecOps」! 透過將資安的概念植入於產品服務、基礎建設、開發流程以及每位工程師的工作中,讓「資訊安全」成為公司文化根基 ,使星宇得以從頭到尾完整提供安全、高質感的飛航服務。
DevOps 的部署流程可以讓企業透過持續整合/持續部署(CI/CD)的方式,讓開發流程更敏捷自動化。然而,在追求敏捷開發的過程中,每週有都新版本要推出上線,如何顧及資安?星宇航空將源碼檢測融入開發流程中,在整合階段持續快速掃描程式碼,並找出最佳修復點,有效降低弱點修復時間,如此才能落實將安全融入 DevOps 中。
對星宇這樣年輕的企業而言,最難能可貴的是將資安防護融入開發流程各階段。「我們沒有源碼檢測工具導入前後的比較,因為在公司初期的系統開發過程中就已經使用了。」 星宇航空資訊長莊棱源一語道盡星宇航空注重安全的企業文化思維。
與傳統 IT 開發流程不同,星宇航空希望在一開始就將 DevSecOps 的觀念帶到 IT 部門所有人心中,因此在建置初期,就準備好源碼檢測工具讓開發團隊使用。「我們對資安的重視就等同於飛安。」 莊棱源資訊長強調。
星宇航空資訊長莊棱源表示,星宇航空希望在開發一開始就將 DevSecOps 的觀念帶到 IT 部門,讓安全落實在企業思維中。(圖片來源:TechOrange)
市面上源碼檢測工具百百種,星宇航空在評選解決方案時,相當重視 能支援的程式語言種類;以及能持續更新以支援各語言的版本。 畢竟開發的系統漏洞經常是駭客鑽研下手的起點,因此檢測工具能持續支援最新的程式語言版本相當重要。在這點上,星宇所使用的多數開發工具都在 Checkmarx 支援的範圍內。
其二,星宇航空希望源碼檢測工具 能在 DevOps 流程中納入 CI/CD 安全檢測,包括能依照需求設定,阻擋風險值過高的專案上版。 而 Checkmarx 已經與眾多 CI/CD 工具完成整合,再加上 Checkmarx 已在亞太、美國、歐洲等地有航空業導入的案例,因此 Checkmarx 台灣合作夥伴叡揚資訊協助星宇導入檢測工具時,無須再另外客製,省下不少時間與成本。也因為有 Checkmarx 自動安全檢測,星宇能在影響最小的情況下顧及程式碼安全,不需另外建置環境進行檢測。
除了自行開發的系統使用 Checkmarx 檢測外,委外開發的系統也涵蓋在內。星宇航空還要求開發商分階段進行源碼檢測,以避免在最後驗收階段才檢測出一堆程式碼問題,反而需花更多時間修補,延後系統上線時間。
企業通常會使用源碼檢測工具,確保委外開發的系統安全性,但在內部開發過程中設定關卡,要求程式設計師使用源碼檢測工具掃描,就難免遇到開發人員抱怨。「開發單位最重視系統上線速度,而我們告訴他們 若能儘早找出問題,就能減少最後修補時間。」莊棱源資訊長指出,這樣解釋多半開發人員都能接受。
星宇這次先導入靜態應用程式安全測試工具(SAST),實際導入過程中也是先選擇對外提供服務的應用開始,「不是一下子就全面導入,而是按系統重要性分階段導入。」以循序漸進的方式讓同仁慢慢習慣將檢測工具納入開發流程中,莊棱源資訊長表示。
星宇秉持重視資安如飛安的理念,以高檢測標準來執行掃描,為的就是怕掛一漏萬。寧可多花些時間在開發初期找到漏洞,也不要只先掃某一部分弱點,為求快速上線而將風險留到日後。
此外,導入源碼檢測工具,許多企業相當困擾的是工具掃出一堆弱點,但其中含有許多誤判或不適用的情形,需要花時間過濾。對此,叡揚資訊資安事業處處長范家禎表示,針對掃描出的弱點若有爭議,叡揚顧問可提供專業諮詢,並由 Checkmarx 協助弱點管理及風險控管,在這樣討論的過程中也能依照星宇的需求制定出完善的源碼檢測政策。
同時范處長也指出,在檢測出程式碼有弱點後,該如何修補也常成為開發者的困擾,對此 Checkmarx 的報告中能顯示出最佳修復點,加快修復效率。若仍有不了解弱點或不知如何修改處,叡揚顧問團隊也能及時協助進行程式修復諮詢。
Checkmarx 與台灣合作夥伴叡揚資訊可提供專業諮詢,依照星宇的需求制定出完善的源碼檢測政策。(圖片來源:TechOrange)
市場競爭變化快速,企業為了更快速推出應用服務紛紛採取 DevOps 的開發與部署方法,以確保能藉 CI/CD 的方式讓開發流程更敏捷自動化。而隨著 IT 技術的演進及駭客手法的多變,企業都漸漸明白將資安納入開發流程的重要性。
在上個資安世代中,最後上線階段才執行安全檢測做最後系統的補強已落伍;應在開發流程中自動地做好資安檢測,並由全體團隊共同實踐 DevSecOps 概念。星宇航空在開發初期就重視資安意識,然而為避免人員無法適應,採漸進導入的方式執行安全檢測,才能讓安全內化於流程中,將安全素養深深刻在組織文化裡;而對資訊部門的同仁來說,除了可以更便捷地開發新服務,也才能將星宇「視資安的重要性等同於飛安」的公司理念融入產品服務,提供更安全、更高品質的飛航服務。
(本文提供合作夥伴轉載。)