GSS 資安電子報0021期【企業軟體安全實例 】

綜觀現今資安趨勢，企業願意在軟體安全上編列的預算不斷攀升。從管理角度來看，組織不僅應於開發程序中灌輸軟體安全的概念，更應先於軟體開發週期考量其安全性。Parkeon停車交通管理公司即是一例。該公司符合資安程序的軟體安全平台完整解決方案，且在內部軟體開發前，先進行開發團隊的安全教育訓練，確保應用程式的資訊安全水準

Parkeon為目前全世界最大的停車交通管理公司，總收益超過1.6億英磅（折合台幣約76.5億），業務範圍涵蓋英、美、法、澳、德、義、西等四十個國家。因為購票、付款容易，且35年來獲得50多項專利，Parkeon多年來叱吒風雲，在停管業地位屹立不搖。迄今已開發超過一百五十套系統，全球三千多個城市使用，每月超過五十五萬筆交易，同時監控兩萬一千台電腦終端機。
交易發生時，Parkeon即透過公認的金融機構，採取點對點電子付款方式。諸如「自動泊車系統」、「路邊停車收費表」或停車場的「自動繳費機」等程式碼，皆內建於公司系統內。

1. 符合政府法規

Parkeon的收付款業務專案經理Luc Porchon認為，三要素中最重要的一環，便是符合政府法規。因消費行為日趨電子化，漸漸以線上付款為主，公司提供消費者多元且完整而便利的付款方式。不管是哪種付款方式，皆需符合支付應用軟體資料安全標準（PA-DSS）及信用卡產業資訊安全標準（PCI-DSS），而目前世界上僅歐洲國家實行上述兩項法規。

1. 提升安全標準，預防資安漏洞

Porchon表示：「愈來愈多的資安漏洞公諸於世，讓許多銀行、軟體公司等利用遠端付款的企業，不得不提高電子商務或線上付款安全的警覺性。有鑑於世界各國的安全標準不一，公司決定採用最高軟體安全標準，以符合世界各地法規。」

1. 降低成本

實施軟體安全措施對一家公司來說，無非是另一項開銷。光資料外洩的成本加上駭客可得利益，即可略估軟體安全的成本絕對不低。事實上風險本身就是一項成本，除了補救自身商譽，還需支付修復程式費用、信用卡公司手續費等等。

Porchon經理表示，公司為了及早修補資訊安全的漏洞，在開發週期時透過互動的方式，定期利用ArchiPEL電子軟體平台測試程式碼弱點，以提升軟體安全。此外，由於專家的推薦，本公司逐漸了解，業界對於Fortify的產品和服務，已有超群的風評。而Fortify成為Parkeon停管公司首選的原因，不外乎以下原因：

• Fortify能將偵測到的漏洞進行分類。因此，應用程式產出前，開發團隊即能消除各類漏洞。
• 開發過程中，Fortify會透過測試和分析，不斷檢視隱藏在程式碼中的漏洞。Porchon說：「Fortify資安專家依據程式碼架構的分析結果，替本公司建立一套完整軟體開發方案後，再依據該方案設置真實執行環境，進而驗證分析結果。
• 依據Parkeon公司喜好，整合其開發環境。
• 建立應用程式上線的門檻機制，持續發現漏洞，以避免漏洞影響真實環境的應用程式。
• 訂立軟體安全衡量指標，以利於企業後續開發參考。

Parkeon公司非常重視美國市場，因此，若電子付款系統不符合PCI法規，採用的機率是零。全球最大信用卡發卡公司積極推行PCI法規，目前世界各國漸漸採用。Porchon認為：「軟體安全的領域非靜態，我們的因應之道就是：採取最高安全標準。」此外，Parkeon建議有意建置軟體安全環境的公司，務必依據Fortify表列的六項要點實施：

1. 於開發階段持續追蹤、掃描潛在漏洞。
2. 務必教育相關人員，培養資安危機意識。
3. 應用程式內務必加入安全檢核機制。
4. 已上線的應用程式應持續追蹤、掃描各種漏洞。
5. 在軟體開發生命週期持續檢核應用程式的安全性。
6. 讓「安全」成為IT運作的一部分。

Porchon做出以下結論：「準車主在買車時，不會把車子的安全配備列入購車考量，因為這些已經是基本配備；所以配備失靈而造成的車禍，媒體一定大幅報導，社會也不能接受。同樣的概念放在軟體安全，全天下的消費者都希望開發人員在產品上市之前，能達到軟體安全的最高品質。」