現代企業如何面對層出不窮的原始碼漏洞與誤報？軟體開發不只要安全檢測，還要能夠精準修復！

科技報橘：https://buzzorange.com/techorange/2020/12/01/checkmarx-gartner/

「世界上沒有完美的程式，只有無所不在的安全漏洞」這句話聽起來雖然嚇人，卻是一語道破企業所面對的頭號敵人有多難纏！行動應用系統（APPs）、雲端、物聯網等新科技為人類帶來便利生活，加速催化開源軟體（Open Source Software；OSS）的應用，使之成為近年來企業開發的熱門選項之一。而隨著 OSS 使用的比例越來越高，各種資安漏洞與不斷升級的壓力也隨之而來，讓企業們頭疼不已。據統計，光是在 2018 年至 2019 年短短一年內，開源軟體中的資安漏洞總數就增加 130%。軟體安全頓時成為眾多企業都須面對的重要議題，尤其是在不容許出錯的金融機構、政府與國營事業更是如此。

Forrester 今年公布一項資安研究報告，指出在網路攻擊的議題中，高達 7 成 5 的攻擊是針對應用系統，其中逾 4 成的外來攻擊是來自於軟體安全漏洞，而約有 3 成 5 的攻擊發生在網頁應用系統。

資安危機無所不在！早期發現、早期治療

資安危機無所不在，但就像醫學常識告訴我們的「早期發現、早期治療」，早期發現的治癒效果和花費成本絕對比亡羊補牢更經濟實惠。

連續三年被 Gartner 評選為軟體安全檢測領導者廠商 Checkmarx，擁有強大的源碼檢測解決方案。根據多年服務客戶的經驗，Checkmarx 亞太區總經理李子聰指出，不同的客戶來自不同行業，開發狀況與需求不盡相同，最常遇到的問題是需要一套自動化的系統、內部資安人員不足，以及對「第三方工具整合」殷切需求。
Checkmarx 僅需提供原始碼即可快速準確的掃描。

以中國領導網路廠商為例，其企業內原始碼的數量非常龐大，卻無足夠工程師檢測，雖有自家研發的檢測工具，但掃描結果並不準確，需要自動化的系統來協助；對此，Checkmarx 提供自動化掃描系統、客製化服務，成功解決公司人力不足與精準掃描的問題。

另一間澳洲大型金融業者則是一直無法得到公司內部安全團隊和研發團隊的支持進行白箱測試，如何修復層出不窮的原始碼漏洞與誤報，便成為他們的燙手山芋；為解決客戶問題，Checkmarx 耗時 18 個月的時間從頭開始確認需求、協助導入產品，成功讓客戶容易找出容易使用、並能整合相關第三方工具的檢測解決方案。

對於上述兩個案例，李子聰總經理分享，透過源碼安全檢測整合方案來識別、追蹤和修復軟體原始碼的安全漏洞，是最直接且省時省力的作法。

使用外部檢測工具時，客戶最擔心的問題不外乎是系統相容、對現行作業系統的衝擊。對此，李子聰總經理認為企業「可以完全放心」，因為自動化源碼安全掃描，屬非入侵性掃描分析程式源碼，並不會影響線上運行的應用系統。Checkmarx 檢測工具，能自動編譯原始碼，客戶僅需提供原始碼即可快速準確的掃瞄，無需編譯器（Complier）的輔助，且能支援市面上常見的程式語言和開發框架，掃描速度快而精準。所以客戶的接受度普遍很高，資訊長也更加願意接受這類早期檢測方案。

「發現問題」還不夠，「解決問題」才是重點

國內資訊軟體領導廠商叡揚資訊資安事業處處長范家禎處長認為，軟體世界裡，速度不是重點，快而安全才是根本。若能在軟體開發初期導入，於 SDLC（系統發展生命周期）初期就找到問題，其解決問題的成本是最低的，也能降低安全漏洞產生的風險。

范家禎處長指出，從叡揚過去在資安領域中十幾年的經驗，企業時常面臨安全風險議題，而客戶最需要的就是一套簡單好用、容易上手，而且掃描報告準確的檢測工具，但這只是第一步，接下來是「修復」的重頭戲。透過源碼檢測工具找到精準的最佳修復點，加速修改弱點，企業可以更加專注在核心業務中，安全問題交給檢測工具。對客戶而言，它需要的不只是檢測工具而已，更重要的是技術團隊的支援與服務。

叡揚資訊在臺灣市場與 Checkmarx 合作超過七年，透過長期觀察，范家禎處長十分肯定這家以色列公司的研發實力。除了本身強大的檢測能力之外，Checkmarx 技術團隊也致力於不定期提供更新版本，以因應程式語言的進步以及資安風險的演變，使客戶不會因開發語言新版本的推出而受限。此外 Checkmarx 與叡揚資訊技術團隊非常重視台灣客戶，因此客製在地化中文操作介面，對國內客戶而言更是使用上的一大福音。

一般而言，應用系統的開發會持續一段時間，期間也應不定期進行檢測。Checkmarx 提供完整檢測（Full Scan）或異動檢測（Incremental Scan）二種模式，讓客戶可依實際需求選擇；其檢測項目高達 700 種弱點清單、涵蓋超過 20 種開發語言，可利用預設檢測集合事前規劃各單位檢測目標；而除了詳列檢測結果，Checkmarx 也提供最佳修復建議，對於關聯的程式碼找出共同呼叫結點，有效加速弱點修復效率。叡揚資訊則可透過多年的安全程式開發導入經驗，協助各大產業客戶進行產品導入、規劃及完整的售後顧問服務。

Checkmarx 提供最佳修復建議，有效加速弱點修復效率。

Checkmarx 提供完整檢測及異動檢測兩種模式，讓客戶可以實際需求選擇。

當軟體無所不在的時候，軟體安全就是一切

「當軟體無所不在的時候，軟體安全就是一切」范家禎處長多年來觀察到，大多數企業中程式開發人員與資安人員的比例懸殊，然而資安工作不能再只交給少數的資安人員，正確的程式開發觀念應是每位員工的共同認知。透過線上安全學習平台（Codebashing），提供開發人員即時、情境式的程式安全線上訓練課程，在程式開發流程的初期即建立憂患意識；除了學習平台，Codebashing 也是開發人員修復程式碼的隨身虛擬顧問，當 Checkmarx 源碼檢測到弱點時，開發人員可在第一時間查詢弱點的說明，或進一步至學習平台了解弱點的原理與其修復概念。

根據 Gartner 的預估指出，2019 年全球軟體安全的市場規模約 15.5 億美元，但到了 2030 年將超過 30 億美元。顯見市場需求之龐大，許多軟體安全檢測廠商紛紛搶食大餅，但要在眾多競爭者脫穎而出，除了不斷升級、強大自家產品之外，更重要的是檢測工具必須「容易使用、可靠可信、彈性化」，恐怕才是讓客戶願意買單的決勝關鍵。

在「資安即國安」、數位轉型的概念下，無論是金融業者、網路公司、甚至政府機構都是源碼檢測的首要對象，尤其金融業者須更重視合規與資安議題。范家禎處長再次強調，善用工具就能在開發初期找出問題點，降低改善的時間、也最能節省成本，幫助企業提高其業務核心價值及降低風險。對此，培養社會的資安意識更為重要，除了加強資安訓練，也可以開始跟內部流程整合，才能對軟體開發安全做到最周全的把關。