GSS資安電子報0185期【5個要優先重視軟體安全的理由】

2021年六月10日(四) PM 12:33

翻譯及整理:叡揚資訊 資安事業處

 

科技日新月異,然而現在發展的速度卻遠勝從前。這也迫使企業面臨到「適者生存」的壓力。在數位轉型的浪潮下,不論是帶領DevOps團隊的負責人或是負責AppSec的經理甚至是開發人員們都面臨快速開發與快速部署的考驗及挑戰,企業需要持續努力並保持競爭力。然而,通常企業為保持開發速度,往往犧牲對於安全性的堅持。只要有稍微關注新聞,不難發現「又有某某企業被駭客攻擊」的新聞消息。

 

不過整體而言,癥結點還是關乎於程式是否有漏洞? 根據Forrester的研究,應用系統是最容易遭受攻擊並造成資料外洩的地方。在全球的資安事件分析報告(Forrester Report)指出,遭受攻擊的主因高達42%是源自於軟體安全漏洞。當市場上出現各式各樣的軟體的同時,攻擊者與惡意程式的數量也會隨之增加。保護軟體安全是如此重要,是時候該停止滿足現狀,主動改進你的軟體安全吧!

這邊整理五個應重視軟體安全的理由!

 

1. 軟體無所不在且設計越來越複雜

現今通訊習慣的改變,讓軟體無所不在。環顧四周並數數看您正在使用多少軟體呢?別忘了連您正在閱讀的這份指南也是藉由軟體得以呈現。更別忘了您現在正在使用的設備之中也有不少軟體在裡面!

從電商平台、手機到智慧汽車,都是由遍布全球數百萬個開發人員,精心打造超過數千萬的程式碼所驅動的。當軟體能為這個社會做的事情多過於我們的想像的時候,也就面臨了嚴峻的挑戰,安全風險可能超出彼此的想像。當軟體無所不在且不可或缺時,採用的型態與案例可能包含了自行開發、第三方元件、APIs、新架構與框架、Container…等等。導致應用系統變得更複雜,更脆弱,遭受攻擊的面向也隨之更為廣泛。因此,企業更需加強重視資安這個領域!

 

2. 軟體是每個企業中「最薄弱的環節」

應用程式首當其衝! 42%企業經歷過因系統缺陷而導致攻擊! -資料來源: Forrester Research

我們都經常聽到一句老話:「你最大的資產也可能成為你最大的包袱。」這同樣適用於軟體!軟體一方面是科技進步強大的催化劑,另一方面,伴隨這些好處卻帶來更大量的攻擊。若企業無法有效解決這些漏洞,等同於對惡意的網路活動敞開大門。

軟體必須被保護!

但是這並不代表僅需保護與業務/任務相關的應用程式。一個完善的安全策略必須通盤考量整體應用系統狀況。無論是自製、外包系統(委外開發)或是透過開源軟體,皆須借助有效的解決方案涵蓋整個軟體開發生命周期(SDLC)是提升安全等級的關鍵。

 

3. 開發者可以也應該是安全團隊的成員

DevSecOps Solution Checklist

  • 自動化安全測試
  • 減少誤報率(FP)
  • 消除枯燥瑣碎的任務
  • 提供可衡量的ROI
  • 結合AppSec的訓練與意識

隨著數位轉型到快速驅動的(hyperdrive)年代,追求「快還要更快」,開發人員的任務是快速的交付軟體,同時還需兼任安全的「守門員」,其實很難在這兩者之間取得平衡。實際上,安全議題確實應掌握在開發人員手中。追本溯源,軟體漏洞源自於程式的編寫錯誤。然而,企業期待開發人員自身也具備安全專家的身份並且擁有扎實的AppSec意識,但是這兩件事是非常不同的。

為了適應現況,開發人員普遍願意接受安全的任務挑戰,但也需要企業政策的支持。強化軟體安全應協同DevOps團隊、開發團隊與AppSec專業團隊,制訂一致的目標。而自動化的AST解決方案能讓工作流程更精簡、有效,自動將安全工具(Security)嵌入到軟體開發流程的每一個步驟之中。進而促進跨團隊的單位合作,也是達成DevSecOps目標的重要一環。 

除此之外,為了撰寫更安全的程式碼,開發者需要從過去的錯誤中汲取經驗。只有近11%的企業表示它們有充份滿足開發人員的教育訓練需求。在此特別要強調的是AppSec的教育訓練與資安意識(Awareness)。才能讓開發者在他們日常工作中,作出更具安全意識的思維與行動。

 

4. 開源軟體(Open Source)就是那麼的脆弱!

與2018年相比,2019年的Open Source的漏洞數提升了130%

當企業與開發步調越趨快速時,對於Open Source會更加的依賴。因為他們不再自行從頭到尾撰寫程式碼。事實上,現今有99%的程式中都包含了Open Source與其套件。而平均一個repositorie有超過200個相依性。這說明了時至今日創新服務與開源程式已是密不可分。沒有它許多的科技(從雲端運算到行動運算)都不會存在。

話雖如此,當產業持續朝Open Source優先的方向發展時,也帶來了Open Source安全的議題:大家是否能夠小心謹慎的使用Open Source呢?根據近期的研究指出:從2018年到2019年以來,漏洞數量已經增加了130%,記錄在案的CVE漏洞從412個增至968個,然而,這些還未包含那些尚未被揭露的弱點。

坦白地說,所有使用Open Source的企業都需要解決方案來檢測和識別其應用程式中的開源或第三方元件,並提供詳細的風險嚴重等級指標。如果沒有這些SCA工具來協助,使用Open Source的風險將遠遠大過於其好處。這些風險包含軟體漏洞、License以及合規性,最後還有智慧財產權(IP, intellectual property)損失的嚴重問題。

 

5. 軟體安全是數位轉型的核心

所有的數位轉型規畫都需要進行徹底的安全評估,尤其是軟體方面。IDC預測,到2024年,所有IT預算支出中,將會有一半直接與數位轉型和創新相關,這對企業領導者的策略規劃至關重要。化被動為主動,並從一開始就從安全的角度出發。

順著這個脈絡,數位轉型不應該單獨進行,而是特別需要在整個過程都有軟體安全的思維。不論是部屬新的解決方案或是讓員工、開發人員遠端工作;或是參與內部規劃以及優化使用者經驗等面向,安全性始終都是首要考量。一個錯誤的步驟,就可能毀掉整個框架,也就是你努力的心血!

也許過去軟體安全不是首要優先,那現在是時候改變了。必須在軟體開發的初期進行安全測試,利用自動化解決方案來簡化工作流程並加快漏洞修復,並保障您的 SDLC。隨著我們的客戶改變開發和部署的方式,Checkmarx致力於將久經考驗的方法與創新的策略相結合,透過這些努力,加快安全軟體的開發。

 

 

關於 Checkmarx

Checkmarx 是現代企業軟體開發軟體安全解決方案的全球領導者。Checkmarx 提供業界最全面的軟體安全平台,Checkmarx 適合用於 DevOps 環境中,並提供靜態和互動式應用程式安全測試、軟體組成分析以及開發人員AppSec 意識和培訓計劃,以減少和修復軟體漏洞帶來的風險。 Checkmarx 獲得 40 多家在Fortune 前 100 強榜上的企業和半數Fortune前50強企業的信任,其中包括業界領先企業- SAP、三星和 Salesforce.com 的肯定等。更多詳情,請立即上https://www.gss.com.tw/checkmarx

Checkmarx在台合作夥伴-叡揚資訊,成立於 1987 年,是台灣資訊軟體業的領導廠商,於應用系統開發已有 30 多年經驗,以改善資訊安全、提高企業效能為使命,全方位引進國際前瞻領導性知名品牌產品,致力為各大企業及組織提供資訊安全解決方案、 IT 效能管理軟體並提供專業技術、顧問及整合服務,優質服務累積廣大的客戶群,包含醫療業、政府國營事業、金融業、壽險業、電信業、交通運輸業、製造業、高科技業等等。未來也將持續引進國際頂尖資訊及技術,協助客戶完成數位轉型、堅守資訊安全防線,期許透過卓越的軟體與服務,帶領客戶透過 IT 創新提升企業產能及核心競爭力。

 

相關文章

資安通報: Python 惡意套件-請儘速檢查與移除

近期專注於資訊安全的 Checkmarx 的供應鏈安全團隊追蹤到惡意攻擊的活動,其作業的手法比典型的資訊竊取操作更進一步,利用開發生態系與開發社群的供應鏈關係,將隱藏惡意行為的 PayLoad 藏身於合法的儲存庫(repository),近幾個月來,這種威脅不斷出現、不斷成長並不斷改變其樣貌,其攻擊的目標從特定應用系統、瀏覽器至使用者的資料,而這些藏有惡意之 Package 至今已累積 75,000 下載次數。
2023/12/08

新聞中心 - 叡揚資訊與 Checkmarx 助攻 關貿網路打通 SSDLC 安...

叡揚資安團隊鼎力支持,為關貿打造最佳檢測環境。受惠於叡揚團隊的專業服務能力,使 Checkmarx 導人過程極為平順。叡揚不僅依據關貿網路當下與未來檢測量能,針對主機容量進行最適規劃,也悉心安排教育訓練、系統安裝及使用諮詢等工作,讓使用者無痛接軌新環境。隨著系統上線至今,只要 OWASP 等規範出現更新,叡揚都會立即提供 Patch 檔,確使品保中心恆常套用最新安全程式碼撰寫規則。
2023/03/01

資安通報: Apache Commons Text 1.5~1.9版 發布新的高...

本次受 CVE 影響的軟體是 Apache Commons Text,這是一個由 Apache 提供的開源軟體,此套件是一個針對字串的相關運用的演算法(例如:字串替換、查找、匹配等等演算法)。目前所發現的漏洞 CVE-2022-42889 存在於 1.5 至 1.9 版本中,當不受信任的資料被處理或是在使用 Variable Interpolation 功能時,可能導致攻擊者能進行任意代碼執行(RCE, Remote Code Execution)。
2022/11/02

軟體供應鏈必學資安課題,如何拉近開發與資安的距離?

今年 IT 圈最熱門的話題之一,便是資本額達百億元以上的上市櫃公司須在年底前完成設立資安長及資安專責單位。以往資深資安人才本就難尋,如今更是炙手可熱。日前台灣資安主管聯盟的成立大會上,會長金慶柏曾指出,目前全台資安人才缺口超過 4 萬人!既然對外招募不容易,那麼從企業內部培養資安人才、提升人員資安意識便是另一途徑。
2022/06/17