【資安工具專欄】華泰銀行落實源碼檢測 無縫接軌程式開發

華泰銀行在卓越雜誌2014年「中型銀行服務品質調查」，一舉奪得「最佳客戶服務」及「最佳銀行財富管理服務」二項大獎，矢志成為「最關心客戶健康的銀行」，更著眼於IT服務之資安防護，提供給客戶最好最健康的虛擬服務環境。

長達半年之久的 嚴謹POC

面對不斷進化的資安攻擊及因應金管會之資安要求，「花了半年的時間針對源碼掃描工具做過嚴謹的概念驗證(POC)，更別提前置的Survey作業！」華泰銀行資訊部陳嘉祥資深經理笑笑地說，從需求面來看，華泰銀會想要作應用程式的檢測，有3大考量：

自我要求

資安問題層出不窮，華泰銀近年成立資安處，顯示其重視資安之程度，「除了內部自行開發外，不少專案乃與委外團隊合作，故透過導入Checkmarx嚴謹把關源碼、制定更明確的KPI，讓系統上線制度更透明、更安全、更高效。」

法規要求

為因應金管會之資安要求，所以需要定期實施安全檢測。

應變能力

對於既有之系統，陳嘉祥資深經理從更長遠的管理模式下手，「就目前駭客能力進化之快，沒人敢保證我們”認為”安全的系統可以永保安康！」故針對既有系統，華泰銀定期以Checkmarx健診，「一來可以建立內部監控機制，二來可以持續精進同仁資安防禦觀念，達到真正落實教育深耕之效。」

重視User為AP單位 管理有一套

談到資安管理，陳嘉祥資深經理有一套「栓螺絲」理論，「欲速則不達，吃緊弄破碗，建立開發AP同仁之資安觀念架構要步步經營，而不是強迫一次到位全盤接受。」從AP出身的陳嘉祥資深經理，對於資安與AP開發之間的愛恨糾葛瞭若指掌，而Checkmarx有效分析，直指不安全程式碼發生處，更是華泰銀AP開發團隊肯定之處。

不要厚厚的弱點報告 而是具有建議價值的檢測結果

「如果源碼健檢後，是一本厚厚的弱點報告，對於AP開發團隊來說，不僅繁瑣而且會抗拒！」陳嘉祥資深經理坦言，在開發程式壓力下，還要面對資安檢驗，加上源碼檢測一定會有灰色地帶，「要同仁照單全收不可能，但是源碼檢測一定要靠工具，而且讓同仁理解源碼檢測非Loading而是多一個輔助，故Checkmarx的簡單、明瞭、清晰特性，就是我們所需要的!」陳嘉祥資深經理斬釘截鐵直言經過半年POC選擇Checkmarx的主因。

Checkmarx的好用 連AP也認同

故從評選到導入，陳嘉祥資深經理聰明地利用「雙軌制」進行，「就我所知，很多單位都是以資安團隊單方向推動主導，但最受影響的卻是AP 開發團隊！」故華泰銀以「User」為中心，從評估、POC 及最後採購，AP 開發團隊都參與其中，「目前，我們很開心看到預期效果，源碼掃描可以落實在程式開發生命週期，Checkmarx 順利融入AP 開發作業流程中，不會淪為表面制式，也不會造成龐大Loading ！」

實際上，華泰銀在選擇源碼掃描產品，有六大考量點：

1. 使用難易度

「Checkmarx 介面好懂，操作便利，所需的環境準備起來也不複雜，對開發人員來說容易上手、負擔小。」華泰銀行選擇工具的重點在於「最適合」企業及使用者( 開發、稽核人員)所需，若使用的工具功能遠多於企業所需，對使用單位而言，反而造成負擔。

2. 使用介面

3. 支援語言

除了支援常用的Java 、.NET 外，也支援其他主流開發語言及iOS、Android 等，未來如有其他語言的掃描需求，即可直接採用。

4. 檢測能力

檢測工具除了速度外， 更重要的是本身的methodology 及檢測能力。經過測試比較，發現Checkmarx 可以確實、有效地發現埋藏在AP 中的OWASP Top10 及其他弱點。有效發現真正的弱點，這比單純比較檢測速度、弱點數量更為重要。

5. 檢測結果及報表品質　

是否包括執行摘要、漏洞描述、程式修補建議等。很多公司的困境為，在掃瞄完成之後，出了厚厚一本詳盡的弱點報告給客戶，但開發單位認為問題多到不知從何下手，導致反彈。故華泰銀相當重視報表內容品質是否實用，太繁雜的報表圖表反而不列入考量，相對的Checkmarx 提供弱點嚴重等級區分，以及弱點的「最佳修復點」，能協助開發人員有效的針對問題下手，快速解決問題。

6. 合作廠商之服務專業能力