暴露在前端服務的程式碼安全性

振興 5 倍券是在全國民眾中討論度最高最夯的一項政策，不過隨著這股熱潮，也接連衍生了各種資安議題。其中前端程式碼的曝光便是一項必須重視的問題，無論是行動應用程式 (Mobile APP) 或者是網頁應用程式 (Web APP)，各家企業都應該重視這些暴露在前端服務的程式碼安全性。

有心人士常透過逆向工程進行攻擊，藉由分析程式碼可取得應用程式關鍵演算法、金鑰、API 存取及機敏資訊，更進一步則可以竄改程式功能達到未經授權的非法行為。政府推出「資安即國安」政策，提倡資訊的安全性與應恰當地使用開源程式碼(Open Source)。為了即時應變這些威脅，必須對前端程式進行防護，以確保應用程式安全，建立有效且完整的前端應用防護機制，降低被攻擊的風險！

以目前常見的網頁瀏覽行為作為範例，若使用 Chrome 瀏覽器按下F12，即可輕鬆開啟開發者模式，未受到防護的前端網頁程式碼將一覽無遺，任憑有心人士恣意進行分析與其他惡意行為。事實上各類型的程式開發在各大論壇進行討論交流也是一件很常見的作法，而實際負責振興5 倍券官網的開發商公司雖合理使用討論區流傳的程式碼，進行了適當修改與調整，即使註解程式碼不會執行與影響功能，但所有前端程式碼仍需進行混淆保護，防止內容遭到窺探。

同樣地，振興5 倍券進行綁定時，也被民眾發現在開發者模式下使用特定方法能夠成功找到綁定所使用的OTP 驗證碼，雖振興5 倍券的綁定需擁有其他資訊才可順利完成，不過若遭有心人士的竊取，仍存在遭亂綁定的風險存在，或是導致其他個人相關隱私資訊的外洩。

為確保網頁應用程式的資安議題，可透過開源檢測軟體WhiteSource 進行引用的套件盤點與檢測，避免使用潛藏資安風險的套件，並採用前端應用防護軟體Arxan 針對JavaScript、HTML5 與API 進行邏輯混淆，使有心攻擊者難以完成逆向工程與惡意篡改，完善前端網站的資安等級。

本文發刊時，此問題已修正。