【資安工具專欄】觀念對了 寫程式就有抵抗力

正如《無間道》裡所說的：「出來跑的，遲早要還」。過去，多半只著重 Web 應用程 式的「功能」開發，而很少說明如何撰寫「安全」的 Web 應用程式，進而造成明知應 用程式有漏洞威脅，開發人員卻不知道如何修改的困境，造成日後修補的技術債。

鞏固好開發上游端 節省修補成本

2006 年，叡揚資訊開始代理原始碼掃描，近七年的服務當中，雖然順利幫客戶端解決程式漏洞的安全疑慮，但卻也出現另外一種聲音！「原始碼掃描是必要的，但是屬於程式開發的最後一哩路（下游），最安全的還是鞏固好開發上游端，可節省耗時耗成本的修補成本。」叡揚資訊資訊安全事業處副總吳黎權說，故在 今年推出安全程式開發實務課程，滿足客戶呼喊已久的需求。

全台唯一 師資經驗尋尋覓覓

「花了兩年多的時間籌備，期間我們找過大專院校教授，或是坊間進修之資源，都沒有諸如此類的教學課程。」故叡揚資訊資訊安全事業處決定藉由團隊經驗及專業，由資深專業顧問陳惠群博士開班授課，分.NET、Jave 等一系列課程。「反應極佳，甚至有許多財團法人機構、上市櫃大型企業紛紛要求包班上課，足見市場需求度有多高！」吳黎權副總自信地說，這是國內目前唯一，也是特別針對客戶實用面進行設計的安全程式開發實務課程，故目前課程的滿意度都高達九成多，且 96% 認為符合需求、92% 覺得講師表現令人滿意，近 90%認同授課內容。

場場爆滿 足見安全程式開發之重要

從五月份開課至今(七月)，幾乎場場爆滿。「課程強調實用，換句話說是學了之後可以立刻派上用場解決問題。」吳黎權副總說。甚至有學員學完之後，剛好遇到單位網站被SQL攻擊, 學員就依照課堂所習改寫程式，SQL 之後就攻不進來了。「重點是觀念對了，之後就不會一犯再犯，甚至之後再用原始碼掃描檢測也不會出現一堆待修正的窘境。」

「課程以實作為主，會藉由案例示範及問答方式引導學員循序漸進來做訓練。」吳黎權副總強調，目前是一開始，未來會視市場反應及程度來做課程調整，盡可能滿足設計安全架構的需求面。

學員心得

心得：這堂課可讓開發者加強對程式開發安全上的考量，同時對OWASP（Open Web Application Security Project）Top 10(OWASP 是一個開放社群的非營利組織，致力於改善網站應用程式的安全性。而OWASP TOP 10 則是定期揭露常見的網站應用程式弱點，以供軟體開發安全參考。) 也有一定程度的了解。

心得：要保護系統，就要先了解別人會怎樣攻擊系統。這堂課由老師實際示範如何攻擊一個已經建置好的網站，實際操作之後，才會更加了解系統安全漏洞並不是理論而已，而是這麼容易發生。完整的課程解說各種面向的攻擊手段，值得當作專案開發維護時，重要的參考。

心得：這堂課提供很多正確觀念與實作，實作上可了解系統被攻擊方式，因此在安全程式開發更佳重視，也是安全程式開發一條路徑可遵循！