幫助開發人員撰寫安全程式碼，傳統開課難以滿足廣泛需求，叡揚引進培訓雲端服務以補足服務缺口

原文連結：幫助開發人員撰寫安全程式碼，傳統開課難以滿足廣泛需求，叡揚引進培訓雲端服務以補足服務缺口 | iThome

推動開發人員重視安全程式設計，最近我們看到新的做法，是透過舉辦競賽，讓更多國內開發人員與學生，能夠接觸與認知安全程式開發。在今年8月底，叡揚資訊首度舉辦了這樣的安全程式開發競賽，而在這場競賽中，使用的是他們今年初代理的Secure Code Warrior平臺，這是一家澳洲公司所打造的雲端培訓平臺。

引發我們關注的是，國內有辦法打造這樣的培訓平臺產品嗎？過去在安全程式開發培訓上，是否存在挑戰？

對此，叡揚資安事業處經理李佳凌表示，過去多年來，叡揚本身都有開設安全程式開發課程，主要以真人教學方式進行，也有Lab教學的形式，在程式語言方面主要以JAVA、.NET為主。

然而，以他們的經驗而言，不僅是程式漏洞的內容教材需要一直增加，更大問題是，面對客戶提出開設不同程式語言課程的需求，像是PHP、行動開發等，他們沒有這麼大的資源與能量，去回應這些需求。

而若要開發這樣的產品，除非一開始就要有非常廣泛的投入，並進行有系統性的整理，同時也要將內容語系做到全球化，就更不容易。

換言之，叡揚引進這樣的安全程式開發培訓平臺，其實也是為了強化自身服務的能量，不再只有仰賴真人教學與Lab形式課程，也能擺脫受限於只有特定程式語言開課、師資可能缺乏，以及蒐集題庫、製作教材、成效追蹤等問題與挑戰，藉由國際上已經發展成形兼具自助式與互動的雲端資源，可以做到更廣泛的推動。

另一方面，根據叡揚說明，這款產品銷售對象是以企業為主，並沒有開放個人訂閱。但很難得的是，他們除了傳統的開放大家試用之外，也想到用辦比賽的方式來推廣，學生也能試用21天並參賽。

重視支援程式語言與題庫豐富性，原廠也積極提供正體中文支援

關於叡揚為何會挑選Secure Code Warrior這款產品？該公司資安事業處資安開發二部經理陳宇馳表示，他們之所以選擇這家業者，看中的是平臺支援程式語言已經廣泛，且題庫豐富。

例如，已經支援C#、GO、Java、Perl、PHP、Python、Ruby Rails、Rust，以及JavaScript Node.js（Express）等多種網頁程式語言，甚至也涵蓋行動開發、前端、API、IaC與系統面的程式語言。

而且，這些題庫都是使用真實的程式碼，不是模擬簡化的範例，原廠並提供了正體中文的介面，甚至影片的字幕也支援正體中文，不過，像是提示等內容的部分，目前尚未完成中文化。

另一特色是，除了培訓平臺本身提供的課程與內容，也能適合邊做邊學的開發人員，因為，Secure Code Warrior平臺能與Jenkins、Azure DevOps Services、Git版控整合，結合第三方掃描工具如Snyk、Checkmarx、Fortify On Demand、Synopsis和Veracode等，讓開發人員在熟悉的開發環境中，當掃描出現弱點時，可以適時在開發環境的介面上，依據CWE編號，提供Secure Code Warrior教材的連結，幫助學習。

新趨勢！將資安培訓內容打造成互動高、學習彈性的商用軟體與服務

安全程式開發的需求一直都在，除了開發人員定期審查，有些企業還會進行白箱測試的源碼檢測，或是黑箱測試的動態安全測試，甚至滲透測試，以找出潛藏弱點，亦有開發平臺也內建了自動化的程式碼審查機制（Code Review）， 幫助軟體開發期間及早發現臭蟲與安全性弱點。 

但要減少重複修改漏洞問題、提升開發效率，若能在更前面的階段，也就是讓開發人員從一開始就寫出安全的程式碼，更是理想。

目前市面上，我們看到這類安全程式開發培訓平臺其實不多，但已出現幾家廠商，除了上述Secure Code Warrior，我們也看到國際間還出現了Avatao、Immersive Labs、Security Journey Platform等。  

回顧這些年的發展趨勢，資安相關的培訓內容，國際間不僅發展商用軟體系統，且趨向雲端服務平臺發展的態勢明顯。

過去我們知道，國內有許多大型企業設有內部的線上學習平臺，像是銀行業可能有內稽內控課程與測驗，甚至不同專業課程，也有資訊安全宣導課程與測驗等，國內也有一些資安服務業者，可以提供郵件社交工程、資安意識相關教材與資源，或是提供開課培訓的服務。

在5、6年前，國際間，我們看到資安警覺訓練的企業自助式培訓服務正逐漸盛行，這類型稱之為Security Awareness Computer-Based Training，包括：KnowBe4、Wombat Security（已被Proofpoint併購）、PhishMe（已被Cofense併購）等廠商的出現，還有像是卡巴斯基防毒廠商也切入提供這樣的產品。

而在安全程式開發領域，同樣其實也發展出產品，以雲端服務模式銷售，對於企業開發人員而言，也將成為學習上的另一種管道與形態。

綜觀此一發展，較可惜的是，雖然國內一直都有業者開設安全程式開發、安全軟體開發的課程，但沒有進一步發展成自助式商用產品與服務，並拓展到全球，或許國內可以思考朝此方向邁進。