資訊中心管理
中華電信研究院開源檢測服務再升級 垂直整合國家隊創多贏局面
中華電信研究院 - 中華電信研究院技術服務處 經理李進河
前往目錄

一分鐘看問題

受訪者

中華電信研究院技術服務處 經理李進河

面臨挑戰

過去只能透過傳統資訊搜尋查找元件相關訊息,耗時又費力。

過往工具檢測範圍有限,不支援Docker專案等新技術應用。

工具廠商更替,無法享受後續支援。


導入效益

快速呈現元件安全性、授權類型、版本資訊及可維護性等資訊。

適用於所有的程式語言、可與CIServer、建構工具跟開發環境整合,讓服務範圍更廣闊。

ShiftLeft提早針對系統安全性進行處理。

5G、物聯網和智慧城市推動消費者對即時性和便利性需求加深。Amazon、Netflix等企業持續求新求變,更新頻率甚至可達每年1,460次

導入 Open Source 管理

創造多贏局面5G、物聯網及智慧城市等科技發展讓消費者對即時性與便利性的需求愈發深入,企業亦不斷推出各種創新商品與服務,如美國電商大廠Amazon、影視串流平台Netflix的雲端系統程式更新頻率高達每年1,460次,而根據Gartner調查指出早在2015年已高達99%企業使用開源軟體(OpenSourceSoftware),以便能在最短時間內完成快速更版及專案需求。在台灣,早在2014年已有70%的公司投入App製作,更超過80%的公司選擇將網站濃縮成App讓使用者隨時觀看,所以3天一小更,5天一大更,已是目前許多企業軟體服務的家常便飯。

 ( 左三起 ) 中華電信研究院技術服務處 研究員林皇甫、經理李進河、副理施品孜及副研究員古永光與叡揚資訊服務團隊合影。

中華電信研究院測試中心技術服務處經理李進河表示:「中華電信研究院在數年前已開始重視OpenSource運用,今年更擴大OpenSource管理範圍,運用叡揚資訊的WhiteSource-OpenSource檢測及管理平台搭配Jenkins及SSDLC平台(SecureSoftwareDevelopmentLifeCycle;安全系統發展生命週期),全面性導入OpenSource管理,落實風險控管,成功協助院內與客戶避免侵權及資安事件發生,發揮OpenSource加快研發速度的特點,創造多贏局面。」

引進 WhiteSource、制定開源軟體規範
企業與消費者有保障

根據美國科技新聞網站VentureBeat報導,以OpenSource為商業模式的新創公司在過去5年家數迅速增加,甚至IBM及MorganStanley等大型企業公開宣示,未來企業使用的軟體非OpenSource不用。李進河表示:「企業使用開源軟體已成趨勢,Micosoft、Uber、Facebook、Toyota及Sony等企業更加入OpenChain計畫,致力訂定開源軟體法遵標準,進而強化軟體供應鏈安全與彼此間的互信程度,讓軟體開發更有效率,可見企業對開源軟體的安全性與版權日益重視。」

一手掌握公司內弱點、授權、品質資訊

針對愈發廣泛與深入的檢測需求,中華電信研究院測試中心為提供企業一站式全方位服務,不斷延伸業務服務範圍,目前檢測服務包含網路/終端設備檢測和軟體測試兩大部份,網路/終端設備檢測包含電信安規能效、EMC無線電、低功率射頻器材測試IPv6及物聯網NB-IoT/LTEM1認證測試等。軟體測試包含軟體效能與安全(原始碼、網頁、主機弱掃以及OpenSource測試)、行動應用App基本資安(MAS)、智慧型手機系統內建軟體資通安全(ESS)等。

中華電信研究院測試中心本身更符合財團法人全國認證基金會(TAF)評鑑認可,檢測品質運作符合ISO/IEC17025國際標準,是經濟部中央標準局TAF體系的合格實驗室,也是國家通訊傳播委員會NCC授權委託之測試機構,擁有完整軟/硬體測試能量及經驗豐富的測試工程師,是企業檢驗服務的不二選擇。

中華電信研究院測試中心技術服務處副理施品孜進一步指出:「中華電信研究院除擴大OpenSource管理範圍,也率先制定開放原始碼軟體管理規範,在新服務上線或更版流程中使用專業的OpenSource檢測及管理平台WhiteSource、檢測工具,透過工具檢測交付的OpenSource元件、快速列出這些元件是否有安全風險及授權議題,為服務品質保關。目前更攜手經濟部工業局推動行動應用資安聯盟,發展國內App資通安全檢驗,提供通過檢測廠商資安標章,讓企業與消費者在採購與使用時更有保障。」

檢核快、支援廣、易操作
WhiteSource 提升專案品質

根據WhiteSource官方統計,OpenSource目前授權種類高達2,300種,多數企業不清楚是否違反GPL(GeneralPublicLicense;通用公共授權條款)或AGPL(AfferoGeneralPublicLicense;Affero通用公眾特許條款)使用方式。李進河表示:「中華電信研究院技術服務處服務產業及對象非常多元,隨市場需求因應並提供更優質的服務刻不容緩,而導入WhiteSource檢測平台,不僅能將系統的整合與測試行為融入開發系統的過程中持續進行,透過自動化建置、程式碼分析與測試,輔助專案進度掌握,更能提升專案的品質,讓我們能提供客戶更完整的檢測服務。」

01

 

早期中華電信研究院技術服務處若遇到OpenSource問題,研發人員只能透過Google、OpenSourceCommunity論壇等傳統資訊搜尋查找OpenSource元件相關訊息,因交叉彙整資訊需要時間,若評估後需要尋找替代OpenSource版本或元件,又需花費更多時間搜尋資料,而導入WhiteSource檢測平台,不僅能快速呈現元件安全性、授權類型及可維護性等資訊,若元件有議題也能供建議元件資訊,如哪個版本較安全、該版本相依的元件需同時更新,有效協助研發人員節省搜尋資料的成本,讓我們能快速掌控OSS風險並降低維運成本。

02

中華電信研究院技術服務處原先能提供的服務,檢測的範圍有限,並不包含Docker專案支援,而WhiteSource檢測平台支援200種程式語言、500萬個OpenSource元件,可整合多種第三方工具包含PackageManange、建構工具、CIServer、版控工具及開發環境,讓中華電信研究院技術服務處能提供的服務與範圍更為廣闊。

 自動化持續掃瞄,資安防護、 版權管理不間斷

WhiteSource檢測平台在使用介面上可提供End-User使用CommandLine模式進行檢測分析及上載檔案的Fingerprint,搭配SSDLC平台解決方案,使用中介系統概念,提供使用者以網頁形式來進行檢測,並透過自動化持續掃瞄,與其後端數30個資料庫交叉比對,讓資安防護與版權管理不間斷。也可針對專案形式預設是否符合公司政策、程式問題數量和元件最新版本,透過電子郵件自動預警機制,將每個元件由高至低,個別表示嚴種等級,將元件集中管理與進行同意、拒絕、指派及特殊情況審查功能,增加易用性及可管理的空間。

施品孜指出:「WhiteSource檢測平台能自動辨識所有OpenSource元件,並針對使用的、尋找的OpenSource元件提供圖表化的報告,直指該元件的問題報告、安全風險、不良的授權和每個元件近期最新的各種版本,其可持續追蹤、易操作的特點,也讓我們可以更容易的去檢測出具備資安與授權問題的元件,協助客戶提升產品競爭力。」

透過 Web Advisor 可針對各大 Open Source repository 網頁立即掃描, 早期發現風險降低修補成本主動追蹤最新發佈弱點,立刻修補漏洞

檢測國家隊垂直整合
創造多贏局面

導入新工具,無可避免的是多少會造成使用習慣改變與資料轉換,李進河經理表示:「導入WhiteSource檢測平台初期確實有一陣磨合期,但我們從技術服務處團隊40人開始,推廣至全院154個研發團隊培育種子人員,發揮點、線、面快速拓展的功效,搭配叡揚資訊顧問服務團隊的教育訓練與技術諮詢,讓我們得以一一克服許多問題。目前WhiteSource檢測平台應用範圍也不單單只在院內,測試供應鏈近200家外包測試廠商也將陸續適用於此規範,中華電信集團瞭解其成效後,更評估預計推廣至各事業體。從上到下垂直整合,讓中華電信研究院能提供更完善的檢測服務」

中華電信研究院除研發中華電信集團拓展業務所需技術,更聚焦創新服務、基礎核心技術及前瞻研究,持續從客戶需求角度,積極研發提供客戶便利及實用的服務,處理龐大且複雜的跨界整合工作,讓客戶一指搞定,以達到中華電信核心精神把簡單的交給客戶,複雜的留在中華電信。李進河指出:「中華電信研究院董事長鄭優在許多公開場合曾表示要凝聚各方力量,以國家隊方式引入新技術、新工具,創造多贏的產業機會,而我們測試中心是一個通過認證的公正、透明測試實驗室,在台灣軟硬產業發展上扮演公正第三方驗證角色,期許在整個測試領域生態鏈上多方合作,共同強化競爭力。」