臺網善用Checkmarx 敏捷開發服務及安全防護

資訊中心管理

下一篇 - 提供完整API Lifecycle 的安全防禦平台─ IMVISION API AMP

臺灣網路認證股份有限公司 - 產品開發部協理王國河

前往目錄

一分鐘看問題

受訪者

產品開發部協理王國河

關聯產品

源碼檢測軟體Checkmarx：源碼安全檢測領導者源碼安全檢測

面臨挑戰

之前使用他牌原始碼安全檢測工具，使用時需額外搭配Compiler環境，造成團隊使用不便且產生額外建置與管理成本，而對於新語言、新技術支援速度不及市場變化，且主要客戶都已導入Checkmarx，為了提昇客戶服務品質，最終選擇改用Checkmarx

導入效益

Checkmarx掃描速度快而精準，一個ScanEngine就能檢測所有的語言，包含iOSAPP程式，整合度高且規則透明
Dashboard完整呈現各專案過去的檢測結果，輕鬆掌握各系統安全狀況，管理相當便捷
若檢驗項目真的有問題時，Checkmarx提供報告與建議解決弱點的方法，也會提供最佳修復點，完整呈現關聯的程式碼，找出共同呼叫節點，有效加速弱點修復效率

Checkmarx 的集中式架構可以確保不同方式檢測的結果一致，節省來回修補的時間。而且集中式架構不會占用開發人員的電腦資源

臺灣網路認證股份有限公司（後述簡稱臺網）是電子憑證與身分識別服務的提供者，在金融暨證券憑證領域擁有逾八成市占率，更是國內最大的民間憑證發行機構，包含多元身分識別服務、信物管理服務、電子文件簽署服務、資料共享四大主軸，提供國內最具代表性的網路安全認證服務，並持續推動網路金融安全環境的建置及推廣，以確保國內金融及電子商務交易安全，建立便捷可信賴的安全網路交易環境。

臺網以ISO 27001為基礎整合國際資安框架導入資安解決方案強化控管

身分識別服務是網路交易的關鍵性機制，臺網產品開發部協理王國河表示：「臺網資安政策以ISO 27001為基礎，整合國際資安框架NIST Cybersecurity Framework及CIS Critical Security Control要求，並取得多項資安國際認證：ISO 27001:2013、BS 10012:2017、ISO 27701:2019、ISO 20000-1:2018、WebTrust for CA認證，以及甫通過驗證的ISO 22301（營運持續管理）等等，同時導入Checkmarx原始碼安全檢測工具強化資安控管。」

採用Checkmarx服務邁入第6年持續創新滿足客戶多元平台服務

身為國內的電子憑證發行龍頭，臺網致力超前部署技術自主能力跟資安資源，早在2011年臺網就開始使用源碼檢測工具。然而發現其眾多金融業客戶紛紛改選用Checkmarx的趨勢，於是也重新啟動評估作業，經過技術評比後，決定跟進使用Checkmarx，而一用就是6年。王國河強調：「叡揚資訊為台灣總代理，有專職專業的資安團隊跟服務能量，加上眾多金融單位與政府機關都已導入Checkmarx，為了提昇客戶服務品質，最終選擇改用Checkmarx。」

王國河表示，臺網採用Checkmarx服務已邁入第6年，協助檢驗專案各階段的軟體安全，從開發、測試、建置，都能透過自動化整合程式碼安全檢測，輕鬆又快速的管理軟體風險，省下可觀的測試時間，也提升效率。「使用臺網服務的客戶至少上百家，皆透過Checkmarx進行品質把關，可以有效確保我們提供完整、符合資安要求的服務給客戶。

試想若每1家都需請客戶進行弱掃，從送掃到拿到結果及後續修復至少超過1週，100家所需就是100週的時間，而對企業來說時間就是金錢，如何將效率與效益最大化才是關鍵。無論是強化SSDLC、DevSecOps，我們從需求訪談、系統分析設計、程式開發、程式碼掃描到品管測試等，使用Checkmarx確實已為我們省下可觀的時間，同時確保資安品質，也提高客戶對臺網的信賴。」他也強調，Checkmarx的集中式架構可以確保不同方式檢測的結果一致，節省來回修補的時間。而且集中式架構不會占用開發人員的電腦資源，再搭配豐富的Plugin整合開發流程，開發人員再也不需要花時間送掃程式碼。如此一來，開發團隊的能量就能集中在真正有效益的工作上。

臺網資安落實SSDLC高效達成安全維護目的

臺網更是深刻感受到Checkmarx許多特色，包含掃描速度快而精準，一個Scan Engine就能檢測所有的語言，包含iOS APP程式。Dashboard完整呈現各專案過去的檢測結果，輕鬆掌握各系統安全狀況，管理相當便捷。若檢驗項目真的有問題時，Checkmarx提供報告與建議解決弱點的方法，也會提供最佳修復點，完整呈現關聯的程式碼，找出共同呼叫節點，有效提升弱點修復效率，協助處理誤判的雜訊，解決開發團隊常面臨到的困擾。

其二，敏捷開發及軟體整合已成為主流趨勢，以行動化裝置App為例，版更速度愈來愈快，若主力著重於功能開發，資訊安全就可能有所疏失，而Checkmarx有自己的編譯器，所採用的Virtual Compiler技術，不受版本更新變化，能完整掃描未經編譯和漸進式改變的程式碼，完美迎合DevOps和CI/CD環境的需求，隨時確保資安品質。

此外，Checkmarx支援最常見的源碼版本管理工具、建構管理伺服器、問題追蹤工具與IDE，進一步簡化軟體安全維護程式，程式包可一鍵上傳，即使是新人，也能在短短2分鐘內學會操作，確實融入公司的SSDLC流程，確保臺網能以最高效率達成安全維護目的。

Checkmarx已連續四年蟬聯應用程式安全測試魔力象限領導者，在應用程式安全測試(AST)中具備對市場的前瞻性及執行能力的完整性。

Checkmarx多元導入措施叡揚提供高品質服務

導入新型態的解決方案，最怕就是轉換過程的陣痛期，例如流程機制的變更、操作不習慣等等。選擇經驗豐富且服務專業的廠商，正是加速導入、縮短陣痛期的不二秘方！王國河表示，叡揚資訊深耕業界多年，在金融、行政院及所屬部會、縣市政府及醫學中心市佔率高，擁有豐富的導入經驗，雖剛開始導入時，看到一堆密密麻麻的資訊，真的會在第一時間無從下手，但叡揚資訊資安顧問服務團隊提供體驗營、User Club，針對常見問題提供情境式說明，讓同仁能快速了解，如有遇到不會修改的安全漏洞，顧問們也能到場或線上支援，協助開發團隊處理資安弱點，提供最實際且有效的解決方案，協助臺網能專注應用程式系統。