GSS資安電子報0139期【D-Link落實源碼檢測 持續創新引領趨勢】
撰文 | 叡揚資訊 行銷部
一分鐘看問題
導入單位:
D-Link 友訊科技股份有限公司
導入產品:
面臨挑戰:
- 鑑於產業界相關資安事件頻傳,開發過程中程式難免偶有錯誤與資安弱點無法及早發現。
- 程式語言多元化,需個別建置檢碼工具,建置成本與維護較高。
- 程式碼行數巨大,檢測工具無法驅動或運行緩慢。
導入效益:
- 達成導入目標,落實源碼檢測,及時發現弱點加以改善。
- 支援語言多元,檢測不需額外架設設備,甚至連未完成的程式碼都能掃描。
- 能容納巨型程式碼行數,讓程式能順利運行進行檢測。
D-Link 產品資安經理蔡坤璋(左)、叡揚資訊 資安業務處產品銷售經理李柔(右)
D-Link 自 1986 年成立以來,不斷採用創新技術,以提供更好的連接性、安全性、更高效能且兼具成本效益的網路解決方案予一般家庭及企業用戶,並盡可能以打造出可提供保護消費者隱私的產品為己任,因應現今網路世代發展,健全與快速的網路環境對於各行各業都是不可或缺的。
提高產品資安品質 導入 Checkmarx 改善弱點
D-Link 因應日漸增長的網路駭客資安事件,將產品安全性、消費者私人資訊及隱私保護視為公司重要任務,為提升資訊安全管理,在產品開發過程中即進行弱點掃描,源碼掃描及黑箱測試進行資訊安全的評估。 D-Link 品質暨設計中心副總經理陳瑞昌表示:「 D-Link 產品都是嵌入式網通產品,像是路由器、 IP Cam 、 NVR 、 switch 還有 IOT 設備等,若透過原始碼安全掃描工具 Checkmarx 能及早發現錯誤和資安弱點加以修正,絕對比生產出貨後再行修正來得節省成本與減少人工檢測的負擔,也避免公司商譽的損失。」
為展現 D-Link 提高產品資安品質決心,由陳副總經理親自引領計畫,導入資安軟體開發框架 BSIMM ( Building Security In Maturity Model )改善整體開發流程,原始碼安全掃描工具 Checkmarx 更是其中重要的一環。產品資安經理蔡坤璋指出:「整個計畫的重點之一就是落實代碼審查,目前已全面要求協力廠商、D-Link 開發團隊及軟硬體產品在出貨前須檢具原始碼資安掃描報告,且須達到既定的水準方能通過。透過新制定的 D-Link 開發準則,嚴格把關產品資安品質。」
Checkmarx 三大特點:多元性、高容性、保密性 最懂製造業需求
蔡經理表示當初在尋找相關工具時,經一年的審慎評估後才選擇原始碼安全掃描工具 Checkmarx ,而選擇的主要原因有3:
- 系統支援語言多元:D-Link 產品多元,且內部開發團隊與外部協力廠商所使用的開發程式涵蓋範廣泛,這些不同平台、程式語言開發項目,若按一般檢測工具方式,皆需個別建置編譯器,增加系統建置與維護成本負擔,而原始碼安全掃描工具 Checkmarx 在虛擬編譯過程中不需準備相關環境,便可直接掃描,甚至未完成的程式也可進行,大幅節省時間與成本。
- 可容納系統巨型程式碼行數:因產業特性, D-Link 的專案程式碼行數往往都是數千萬級別,外界常見的幾百萬程式碼行數級別完全無法比較,運用原始碼安全掃描工具 Checkmarx 不僅運傳順暢更降低檢測時間。
- 系統保密性高,遠端登入易操作:原始碼安全掃描工具 Checkmarx 支援遠端登入,使外部軟體供應商可透過網路遠端登入使用,使用過程也全程確保程式碼無法外流,杜絕洩漏風險。
蔡經理進一步指出原始碼安全掃描工具 Checkmarx 在業界風評良好,舉凡政府、金融業甚至美國國防部都在使用,證明此產品值得信賴。
有效提升程式碼品質 讓產品愈發完美
D-Link除導入原始碼安全掃描工具 Checkmarx 外,更藉此不定期舉辦資安開發課程,邀請合作的開發廠商參加,全面建立開發人員資安風險意識,藉以全面提高D-Link 的產品資安品質。叡揚顧問團隊協助教育訓練時更用實踐的開發案例示範使用方式,也提供如何整合現有開發環境,加強開發流程時效性等建議,讓協力廠商從擔心原始碼外洩到全面接受,更開始規畫採購原始碼安全掃描工具 Checkmarx 。
蔡經理最後表示肯定:「原始碼安全掃描工具 Checkmarx 雖然好用,但負責導入協助的服務廠商,更是整個計畫成功的重點,導入工具後不只有效提供產品開發的資安品質,就連協力廠商都有效改善它們自己的程式碼品質,讓 D-Link 產品愈發完美,繼續提供民眾與企業高品質的網路解決方案。」
