Secure Code Warrior 攜手叡揚資安 為台灣企業注入安全文化DNA

真實程式碼及中文化內容助力 一杯咖啡時間輕鬆學資安

原文連結: Secure Code Warrior 攜手叡揚資安 為台灣企業注入安全文化DNA | iThome

左起叡揚資訊資安事業處副處長李佳凌、處長范家禎、Secure Code Warrior APAC Partner Manager Nathan Yau、叡揚資訊資安事業處資深資安工程師張子敬

       現今企業爆發資安威脅主因，多半源自軟體應用系統漏洞所致。耕耘台灣資安市場多年的叡揚資訊， 2022 年起便引進深受全球用戶肯定的 Secure Code Warrior 學習平台，助台灣開發人員以簡單有效方式，持續提升整體資安意識，進而改善軟體開發專案品質。

       鑑於現今資安威脅來源，有超過 75% 源自於軟體應用系統層的漏洞，因此若能強化開發人員的資安思維，即可大幅減少遭到惡意程式入侵的機率。為此，致力扮演臺灣公私部門最佳資安夥伴的叡揚資訊，從 2022 年起舉辦「安全達人養成計劃暨資安戰士挑戰賽」，所有報名人士都能免費使用「 Secure Code Warrior 安全程式學習平臺」，以實際行動響應政府資安人才培訓的相關政策，同時推動資安意識及安全程式撰寫的技能，進而協助企業落實安全文化。

       叡揚資訊資安直屬事業處處長范家禎指出，在全球資安人才不足的狀況下，過去幾年教育部大舉投資在資安人才培育工作上。叡揚資訊耕耘資安市場多年，希望能從根本問題著手，所以推動「安全達人養成計劃暨資安戰士挑戰賽」，透過開放免費使用 Secure Code Warrior 平臺達 40 天的方式，讓不論是企業人士，或是大專院校學生們都能免費學習資安知識，為強化臺灣整體資安防護盡一份心力。我們也與主管機關討論合作，未來可能讓學校使用 Secure Code Warrior 學習平臺於教學環境之中，從學生階段就培養基礎資安知識。

       Secure Code Warrior APAC Partner Manager Nathan Yau 說，我們觀察到開發人員在大學階段學習撰寫程式碼過程中，重點在學習寫出功能正常運作的程式，但缺少了程式碼造成漏洞的安全意識。 Secure Code Warrior 能夠協助開發人員彌補該領域的知識差距，因為若能在軟體開發過程就融合安全思維，自然能減少應用程式的弱點與漏洞。

專為軟體開發人員量身打造 輕鬆學習最新資安知識   

       創立於 2015 年的 Secure Code Warrior ，營運總部位於澳洲、員工人數約達 250 人以上，創辦人暨首席執行長 Pieter Danhieux 曾經擔任多年 SANS Institute 專業講師，鑑於傳統開發人員的資安培訓工作都是透過實體課程進行，有效率不彰、難以持續學習的缺點。為此，決定開發一套遊戲化學習平臺 - Secure Code Warrior ， 讓全球開發人員以最簡單方式學習安全知識，以便能寫出兼具安全、品質的程式碼。截至目前為止，該公司在北美、歐洲和澳大利亞設有辦事處，全球累積達 500 多個客戶，並與 GitHub 、 OKTA 等超過 60 個夥伴建立合作關係，並將相關功能整合到 Secure Code Warrior 學習平臺。

       Nathan Yau 表示， Secure Code Warrior 學習平臺是專為軟體開發人員設計培訓平臺，提供與程式碼相關的開發技能和安全知識，能透過一系列互動式的學習模組和挑戰，讓開發人員掌握基礎、最新的安全知識。目前此平臺已支援 Java 、 C＃ 、 Python 、 Ruby 等超過 60 種語言和框架，開發人員能透過有趣學習過程，達到提升軟體開發專案品質、整體工作效率的目的。

     「 Secure Code Warrior 平臺最大特色之一，開發人員僅需要花費一杯咖啡時間就可學會一個弱點，且能透過持續學習方式，掌握市場最新採用的弱點攻擊手法。」范家禎解釋：「尤其此平臺還提供影片教學機制，讓開發人員可藉此了解漏洞產生的原因及修復方法，自然有助於逐步改善程式碼的撰寫品質。」

Secure Code Warrior 平臺目前支援超過60種語言及框架   

易於操作與學習

       Secure Code Warrior 學習平臺有眾多獨步市場的特色，首先是提供豐富學習模組、支援 60 多種軟體開發語言和框架，搭配實際範例程式碼、錯誤程式碼與互動式學習機制，讓開發人員可快速理解與避免避免常見的安全漏洞和弱點。其次，產品內建錦標賽（ Tournament ）模組，在模擬真實世界中的各種情境，讓開發人員能夠實際應用所學的安全開發技能。第三點則是產品提供即時反饋的功能，於學習過程中即時給予開發人員提示與答題回饋，可幫助開發人員建立良好的安全開發習慣，能避免在開發過程出現常見的安全漏洞。最後，則是能提供客製化培訓，讓用戶可根據特定的開發環境和技術，選擇相應學習模組（例如 NIST 最新指標課程與 PCI DSS 相關控制項之課程）與設定個別化的學習目標。

Secure Code Warrior 平臺能根據特定的開發環境和技術，提供客製化培訓課程。如：NIST最新指標課程、PCI DSS相關控制項等多種合規課程也都能在平臺中學習到。

對企業管理團隊來說，可透過此平臺掌握開發團隊的學習成效、安全程式開發能力狀況、五大領域的弱點解決能力指標，乃至於每位同仁的學習狀況及排名與學習時數。特別是平臺的測驗模組功能，還能作為員工的學習能力檢定，員工也能藉此知道自身程度與團隊整體平均分數。

Nathan Yau 指出， Secure Code Warrior 學習平臺最大特色在於透過「真實程式碼」機制，讓員工可練習找出漏洞、識別漏洞，以及修補漏洞的各種技巧。而深受用戶肯定的錦標賽模組，則會將題型包裝成駭客攻擊事件，學員必須找出漏洞與修補，模組會根據解題表現累積積分，且能即時顯示每位參賽者的成績，期盼藉由比賽方式激起員工持續學習的動力。

范家禎表示，臺灣公部門多數軟體專案都是採取委外開發進行，欠缺一套合適工具評估協力廠商資安能力的工具。所以當叡揚資訊向公部門介紹 Secure Code Warrior 學習平臺後，發現測驗模組很適合用來評估協力廠商的資安程度，所以我們也正與相關單位討論未來合作模式。