關於Travelport:Travelport為提供全球旅遊業運作及重要交易處理解決方案的領導廠商。
Travelport致力於協助旅遊業者和各企業,以因應現今旅遊業的特殊需求。該公司經營三大核心業務:Travelport Global Distribution系統、Travelport航空IT解決方案™,和GTA™。該公司亦為提供旅遊產品及服務的世界級領導廠商,品牌、技術和服務已受業界認可;旅行社、企業和旅遊供應商無不依賴Travelport的解決方案,以提高生產力、降低成本、並為全球旅客提供服務。相對的,Travelport依賴強大的軟體安全保證計劃,其中關鍵部分即為Fortify 360 Source Code Analyzer (SCA),以確保客戶信任所提供之應用系統。
Travelport提供的應用系統非常廣泛,從時間表和票價搜尋,到飯店、汽車、郵輪的訂位系統。其中包括14種語言(包括.NET、Java、COBOL、C的變化語言),開發人員約2,000名。
|
TRAVELPORT 快速統計 |
|---|
|
|
主要挑戰 |
|---|
|
Ariel Silverstone為Travelport的資安總監。他的團隊建立、管理、測試及培養整個資安領域和資料保護解決方案,以提供給Travelport及其客戶,並確保遵循各種當地及國際規則、法規與規範,包含European Union directives、Safe Harbor、沙賓法案、信用卡產業資訊安全標準(PCI – DSS)。
Silverstone表示:「我們有許多主要挑戰。第一、保護我們客戶的隱私;第二、我們絕不允許透過我們的系統發生詐騙行為。」行動及雲端技術的發展,提供旅客更佳的體驗,但也讓安全性問題漸漸浮出檯面,更代表著另一項挑戰。「隨著威脅變得更加成熟及技術更加先進,Fortify保證能修補或預防所有已知的弱點,協助我們擺脫這些威脅。」Silverstone接者表示: 「Fortify在應用系統開放給旅行業者或Web前,便解決所有可能的弱點,幫助我們確保系統安全性。」
Fortify對於Travelport也有財務上的助益。「我們的軟體發佈行程表行程緊湊,請PCI稽核員來稽核程式碼的次數,每年高達6至7次。」Silverstone表示:「我們公司的分析師指出,藉由內部使用Fortify SCA,每年大約省了1800萬美元,同時提升軟體安全系數至3.5。」亦即,固定使用Fortify SCA後,Travelport已大幅降低其安全弱點達70%。這讓該公司能提供網路連線行為(例如安全購票),在以前,這對消費者來說是過於危險的。
Silverstone第一次了解Fortify解決方案,是因為他發現有些PCI稽核員在使用Fortify解決方案。他表示:「我清楚的知道可能性為何,且採取行動。」「我的確看過許多其他解決方案,包括Veracode。Fortify支援的語言遠多於Veracode,並且相對於Veracode以megabyte為基礎計價方式,Fortify的計價方式更為友善。除了其他旅遊業者外,我也與高交易量的使用者討論過,他們皆表示使用Fortify後,性能(performance)和結果都非常好。」
Fortify SCA能完全整合入Travelport的軟體開發生命週期。當軟體準備要上線時,必須同時經過品質與安全測試。開發階段引導要求資訊安全階段檢核程式碼,這是透過安全的形式提出、在研究室排程好、並在七個工作日內測試。結果將排出優先順序,然後提交給要求的部門及相關副總。資安部門要求有預防計畫,並且除非已將應用系統正確修復,否則不准上線。
根據Silverstone表示,Fortify技術是Travelport的長期策略願景的關鍵部份:「我們的目標是開發能保護旅行業者及客戶資料的應用系統。Fortify是此目標的重要元素,它幫助我們建立更強健、更安全的軟體,並且確實使軟體修復變得更簡單、更精省。」迄今為止,我們已使用Fortify SCA掃描超過300個應用系統。
|
Fortify 360保護您的軟體 |
|---|
|
Fortify360是一套軟體安全解決方案,能整合精準指認、列出弱點等級、改善安全弱點、並透過應用系統安全管理企業。 |
Travelport非常快速地使用了Fortify解決方案,且成果超乎預期。Silverstone表示:「我們對於低誤判率尤其滿意。」「對任何解決方案來說,誤判可說是造成失敗的主素。我們原本預期的誤判率大約80%,但實際上卻低於3%。我們對於Fortify能與我們的測試程序同時進行感到非常滿意。Fortify於記憶體利用到高達10GB的環境,已證明是最強大且可靠的。」此外,Silverstone相信Travelport使用Fortify解決方案,將帶來更高的生產力,因為開發人員會寫出更安全的程式,因此可縮短安全測試週期。
Fortify亦強化Travelport另一項重要優勢:維持外包開發程式碼高標準,使其與內部開發程式碼標準相同。Silverstone表示:「我們在驗收前,會測試第三方提交的程式碼」。「當我們發現程式碼不夠安全時,我們可以基於合約條款,零成本要求外包廠商修改程式碼。在過去,我們須付費請他們修改。我們強烈建議所有內部開發者使用Fortify,我也常常推薦同業使用Fortify。」
Fortify全球服務已成為完整Fortify解決方案中,非常有效的一部份。Silverstone表示:「服務團隊非常的專業並具備相關知識」。「我們曾經有一個須即時回覆的問題,服務團隊在10分鐘內即回覆我們,使我們非常滿意。」Silverstone對於Fortify全球服務提供的教育訓練也感到很滿意。「效果非常好!我們全部的疑問,甚至深入技術領域的問題,皆獲得解答。」
展望未來,Travelport正考慮將Fortify提早放入軟體開發生命週期,並擴大用於該組織。「Fortify是個很重要的技術伙伴,對於在旅遊業的IT公司而言,它大大促進了我們的業務上的成功。」Silverstone表示。「從商業角度而言,Fortify幫助我們取得競爭優勢,這歸功於我們推出的安全軟體。將Fortify納入成為全部流程中的一部份,我有信心我們將產生相較於旅遊業標準更安全、更健全、更多檢查及測試的程式碼。」作為應用系統安全的領導廠商,Travelport帶領全球旅遊機構將安全列為優先事項。
Silverstone總結說:「目前為止,我們已測試了超過1400萬行程式碼,並替公司省下大筆金額。Travelport在業界已成為公認的標準及安全指標。我們的全面安全計畫幫助我們遠離駭客並保持競爭優勢。在這些關鍵領域裡,Travelport能在旅遊界持續領先,Fortify扮演了極為重要的角色。」
|
Fortify優勢 |
|---|
|
Fortify客戶包括政府和FORTUNE 500大企業,客戶領域廣泛,包括金融服務、醫療、電子商務、電信業、出版業、保險業、系統整合及資訊管理等。總部位於美國加州San Mateo,是惠普(HP)的子公司,亦是惠普軟體暨解決方案組織的一部份。若要參考更多訊息,請至www.fortify.com。