Welcome to Galaxy Software Services Corporation !
資訊中心管理
臺網善用Checkmarx 敏捷開發服務及安全防護

一分鐘看問題

受訪者

產品開發部協理王國河

面臨挑戰

  • 之前使用他牌原始碼安全檢測工具,使用時需額外搭配Compiler環境,造成團隊使用不便且產生額外建置與管理成本,而對於新語言、新技術支援速度不及市場變化,且主要客戶都已導入Checkmarx,為了提昇客戶服務品質,最終選擇改用Checkmarx

導入效益

  • Checkmarx掃描速度快而精準,一個ScanEngine就能檢測所有的語言,包含iOSAPP程式,整合度高且規則透明
  • Dashboard完整呈現各專案過去的檢測結果,輕鬆掌握各系統安全狀況,管理相當便捷
  • 若檢驗項目真的有問題時,Checkmarx提供報告與建議解決弱點的方法,也會提供最佳修復點,完整呈現關聯的程式碼,找出共同呼叫節點,有效加速弱點修復效率
Checkmarx 的集中式架構可以確保不同方式檢測的結果一致,節省來回修補的時間。而且集中式架構不會占用開發人員的電腦資源,再搭配豐富的Plugin 整合開發流程,開發人員再也不需要花時間送掃程式碼。如此一來,開發團隊的能量就能集中在真正有效益的工作上。

臺灣網路認證股份有限公司(後述簡稱臺網)是電子憑證與身分識別服務的提供者,在金融暨證券憑證領域擁有逾八成市占率,更是國內最大的民間憑證發行機構,包含多元身分識別服務、信物管理服務、電子文件簽署服務、資料共享四大主軸,提供國內最具代表性的網路安全認證服務,並持續推動網路金融安全環境的建置及推廣,以確保國內金融及電子商務交易安全,建立便捷可信賴的安全網路交易環境。

8 1

臺網以ISO 27001為基礎整合國際資安框架導入資安解決方案強化控管

身分識別服務是網路交易的關鍵性機制,臺網產品開發部協理王國河表示:「臺網資安政策以ISO 27001為基礎,整合國際資安框架NIST Cybersecurity Framework及CIS Critical Security Control要求,並取得多項資安國際認證:ISO 27001:2013、BS 10012:2017、ISO 27701:2019、ISO 20000-1:2018、WebTrust for CA認證,以及甫通過驗證的ISO 22301(營運持續管理)等等,同時導入Checkmarx原始碼安全檢測工具強化資安控管。」

採用Checkmarx服務邁入第6年持續創新滿足客戶多元平台服務

身為國內的電子憑證發行龍頭,臺網致力超前部署技術自主能力跟資安資源,早在2011年臺網就開始使用源碼檢測工具。然而發現其眾多金融業客戶紛紛改選用Checkmarx的趨勢,於是也重新啟動評估作業,經過技術評比後,決定跟進使用Checkmarx,而一用就是6年。王國河強調:「叡揚資訊為台灣總代理,有專職專業的資安團隊跟服務能量,加上眾多金融單位與政府機關都已導入Checkmarx,為了提昇客戶服務品質,最終選擇改用Checkmarx。」

王國河表示,臺網採用Checkmarx服務已邁入第6年,協助檢驗專案各階段的軟體安全,從開發、測試、建置,都能透過自動化整合程式碼安全檢測,輕鬆又快速的管理軟體風險,省下可觀的測試時間,也提升效率。「使用臺網服務的客戶至少上百家,皆透過Checkmarx進行品質把關,可以有效確保我們提供完整、符合資安要求的服務給客戶。

試想若每1家都需請客戶進行弱掃,從送掃到拿到結果及後續修復至少超過1週,100家所需就是100週的時間,而對企業來說時間就是金錢,如何將效率與效益最大化才是關鍵。無論是強化SSDLC、DevSecOps,我們從需求訪談、系統分析設計、程式開發、程式碼掃描到品管測試等,使用Checkmarx確實已為我們省下可觀的時間,同時確保資安品質,也提高客戶對臺網的信賴。」他也強調,Checkmarx的集中式架構可以確保不同方式檢測的結果一致,節省來回修補的時間。而且集中式架構不會占用開發人員的電腦資源,再搭配豐富的Plugin整合開發流程,開發人員再也不需要花時間送掃程式碼。如此一來,開發團隊的能量就能集中在真正有效益的工作上。

臺網資安落實SSDLC高效達成安全維護目的

臺網更是深刻感受到Checkmarx許多特色,包含掃描速度快而精準,一個Scan Engine就能檢測所有的語言,包含iOS APP程式。Dashboard完整呈現各專案過去的檢測結果,輕鬆掌握各系統安全狀況,管理相當便捷。若檢驗項目真的有問題時,Checkmarx提供報告與建議解決弱點的方法,也會提供最佳修復點,完整呈現關聯的程式碼,找出共同呼叫節點,有效提升弱點修復效率,協助處理誤判的雜訊,解決開發團隊常面臨到的困擾。

其二,敏捷開發及軟體整合已成為主流趨勢,以行動化裝置App為例,版更速度愈來愈快,若主力著重於功能開發,資訊安全就可能有所疏失,而Checkmarx有自己的編譯器,所採用的Virtual Compiler技術,不受版本更新變化,能完整掃描未經編譯和漸進式改變的程式碼,完美迎合DevOps和CI/CD環境的需求,隨時確保資安品質。

此外,Checkmarx支援最常見的源碼版本管理工具、建構管理伺服器、問題追蹤工具與IDE,進一步簡化軟體安全維護程式,程式包可一鍵上傳,即使是新人,也能在短短2分鐘內學會操作,確實融入公司的SSDLC流程,確保臺網能以最高效率達成安全維護目的。

Checkmarx已連續四年蟬聯應用程式安全測試魔力象限領導者,在應用程式安全測試(AST)中具備對市場的前瞻性及執行能力的完整性。

8 18 1

Checkmarx多元導入措施叡揚提供高品質服務

導入新型態的解決方案,最怕就是轉換過程的陣痛期,例如流程機制的變更、操作不習慣等等。選擇經驗豐富且服務專業的廠商,正是加速導入、縮短陣痛期的不二秘方!王國河表示,叡揚資訊深耕業界多年,在金融、行政院及所屬部會、縣市政府及醫學中心市佔率高,擁有豐富的導入經驗,雖剛開始導入時,看到一堆密密麻麻的資訊,真的會在第一時間無從下手,但叡揚資訊資安顧問服務團隊提供體驗營、User Club,針對常見問題提供情境式說明,讓同仁能快速了解,如有遇到不會修改的安全漏洞,顧問們也能到場或線上支援,協助開發團隊處理資安弱點,提供最實際且有效的解決方案,協助臺網能專注應用程式系統。