GSS 資安電子報0019期【Fortify導入案例 】

Oracle是世界唯一針對公司資料庫、中介軟體、企業情報、應用程式、以及協同運作等提供解決方案的公司，二十七年多以來受到各界肯定。在Oracle的軟體安全保證下，無論在規格或設計方面，皆視安全性為基本需求。在軟體開發階段，Oracle安全碼標準執行許多內部以及第三方安全工具。Oracle總資安長Mary Ann Davidson則說過：「資安是企業的DNA，企業要存在，就不能少了它。」

Oracle的目標是利用自動化程式碼安全分析工具強化現行工具，使軟體開發人員於開發階段能及時偵錯、除錯。Davidson說：「就算有全世界最頂尖的軟體開發團隊，人既非聖賢，還是有出錯的可能。」

Oracle的需求如下：

• 規模性：好的產品需具備隨時處理部門中最大量、最複雜程式碼，且能支援各種語言及平台。
• 彈性：Oracle Server Technologies團隊要求分析工具除了符合客製化需求、及時偵測開發環境及程式碼結果之外，工具本身也須包含Oracle的編碼規則(coding rules)。
• 精確性：開發人員希望能在最短的時間，明確標示出各種可能的漏洞。

主要任務

• 有效檢驗大量程式碼且支援多種語言。
• 客製Oracle Server Technologies特殊、複雜的安全需求及技術環境。
• 將誤判率降至最低，使開發人員及安全資源效率極大化。

2005年末，Oracle Server Technologies評估各廠牌後決定選用Fortify SCA程式碼安全檢測，使開發階段中的產品安全測試自動化，大幅提高內部績效。Oracle ST Release Engineering部門主管Mark Fallon說：「我們深入研究大量工具，大多數在規模及性質上無法應付本公司的應用程式。眾多產品中，Fortify最符合技術需求。此外，不管在雙方產品、開發環境，甚至未來升級方面，Fortify也提供整合服務。我們持續精進企業應用系統，使之更強大更精確。

Oracle針對Fortify SCA的使用成效如下：

• 提升安全性
  Fortify SCA能於開發週期前偵測到安全漏洞。Davidson做出以下結論：「在開發階段中，愈早修復可能出現的問題愈有利；若能找出所有問題點，也能替雙方精減開發週期成本。」
• 精簡且全面性的分析原碼
  Fortify SCA能迅速分析大量程式碼，相同的工作若以人力進行，必定是個耗時耗力的工程。此外，提高Oracle開發人員接受度的主因是：Fortify SCA的數據較其他產品精確。「誤報漏報」是安全掃瞄工具的毒瘤，因為不僅浪費時間，更使開發人員避之危恐不及。好的工具能深植開發人員的資安觀念，也能將此觀念運用於開發環境中。
• 進行開發人員教育訓練
  使用Fortify SCA能讓開發人員於開發週期中隨時接收偵測訊息，也就是這種機制，增強了安全碼標準，開發人員也能及時寫出安全碼。Fallon說：「使用Fortify SCA期間，問題漸漸減少，這種結果很有利。」

Fortify的優勢

• 提高資安人員對安全碼的信心
• 強化開發人員的資安觀念
• 辨別開發流程中的安全漏洞

Oracle的目標是：讓公司內更多開發人員使用Fortify SCA。Fallon說：「Fortify真是沒話說。他們不斷的進行需求訪談、針對需求進行改善、優化其工具。」Fortify執行長John Jack則回應：「針對Oracle的需求訪談是無價的；因為客戶的回應才能精煉產品。雖然Fortify本身已贏得許多獎項，事實上，客戶的需求才是讓Fortify在市場上立於不敗之地的關鍵。