論壇文章
導正開發人員資安觀念邁向程式0缺失

導正開發人員資安觀念邁向程式0缺失

撰文 | 叡揚資訊 行銷總處 行銷企劃專員 林思妤
中心從2008年開始接觸相關產品,實際比較各家產品方案之後,今年初決定導入Fortify的Source Code Analyzer

專訪:林哲輝〈逢甲大學地理資訊系統研究中心副總工程師〉

地理資訊系統研究中心之創立

從最早土地管理學系的研究室開始,逢甲大學土地管理學系系主任楊龍士老師,有感整體環境規劃與土地管理需求日增,報請學校開辦地理資訊系統、決策支援系統等相關課程,並於當時管理學院的土地管理學系申請籌設「地理資訊系統研究小組」,再置設學生實習上機電腦六部及GIS研究室,是為地理資訊系統研究中心之初創雛型。並於2006年跟教育局正式申請設立研究中心,開始積極參與國內外類似OPEN GIS的各項國際組織、團體,然研究中心不只是學術單位,自成立以來便接受公、民營機構委託承辦各種類型的研發計畫及專案。

研究中心成立以來,是以自負盈虧的方式來經營,並不是以政府機關及學校額外編列預算營運,組織部份約有120、130位左右的員工,而內部的開發團隊有將近40位成員。各部門都有不同的專業領域背景,幾乎三分之一以上皆有碩、博士的背景,所專業的領域也很廣泛,不單純只有地理相關,內部甚至有3、40位以上的員工具有IT、程式開發的背景,除了研究中心外,中心成員也有跟學校相關教師們,成立先進觀測研究室或是土地政策研究室。研究中心設有軟體教育訓練的電腦教室設備,使中心可以對內、對外開立相關的訓練課程,而所有的軟體與設備,皆是由中心一手包辦。

中心承包的專案非常多元,只要是與地理相關的性質,例如: 敎育推廣、農村再生、環境觀測、2D或3D的地理圖像及運輸管理等,甚至宗教盛事的媽祖繞境活動也有參與過。

資訊安全觀念建立 憑藉研討會及內部相互交流

關於資訊安全部分,因為研究中心服務的對象不只有學術單位,也包括政府單位,根據行政院的規定,要求B級單位的資訊中心需通過相關的資訊安全認證,目前A級政府單位有七八成已通過資訊安全檢測認證,但B級單位目前通過不到3成,研究中心為符合這個規定,開始深入了解ISMS的資訊安全認證相關流程,發現要通過認證組織的審核,並不容易,有需要透過相關工具在執行上的協助,因此開始蒐集資訊安全檢測相關工具,以使中心開發的系統,也要設法符合政府的資訊安全要求。

過去研究中心對於資安的作法,主要是靠舉辦研討會及透過內部交流的方法,強化安全性的方面的開發知識。不過,在資安問題持續受到重視的情況下,中心從2008年開始接觸相關產品,實際比較各家產品方案之後,今年初決定導入Fortify的Source Code Analyzer (SCA),讓資訊安全相關的問題在開發階段時就可以及早發現立即修正,以降低修復的成本。

提供諮詢服務 參考修正建議 減少誤判機率

研究中心是經由承接經濟部水利署資訊中心的專案而接觸到Fortify,透過水利署資訊中心介紹而找到了叡揚資訊提供技術支援,逢甲大學地理資訊系統研究中心副總工程師林哲輝表示:「Fortify SCA產出詳細易懂的報表且很詳細,對資訊中心而言,除錯比較有依循,而且叡揚資訊的支援也很完整。」

林哲輝所謂的支援不只是針對產品本身,他說:「技術的支援不是只教導使用者如何操作,針對弱點部分,顧問也會告訴我們該怎麼修正。」除此之外,這類產品多少會有誤判的情況,而叡揚提供顧問服務,指導中心的開發人員如何設定規則,參考修正建議,以減少誤判的機率。

開發者因工具的運用 資安觀念成長

逢甲大學地理資訊系統研究中心導入SCA之後,現在已應用在各個專案,例如現在已結合Visual Studio的開發環境,開發者可以在撰寫程式時,隨時執行安全性檢測,及早更正不安全的程式寫法習慣。

不過,程式的掃瞄畢竟需要時間,執行一次可能需要等上幾分鐘甚至10多分鐘所以針對比較大型的專案,研究中心是採用排程的方式,定期執行安全性掃瞄。

Fortify SCA所掃出來的弱點,研究中心不見得會要求全部修改。林哲輝強調,「Hot」等級的弱點一定要改掉,「Info」部分的問題未必會產生威脅,可能只是因為中心開發人員與Fortify原廠開發者的認知差異問題,但是中心還是會於下次遇到同樣情況時,改用原廠建議的較安全寫法。

事實上,透過工具的輔助,內部成員對於安全的開發觀念也有成長,該單位的系統工程師林嘉誠表示:「以前用字串組合SQL是直覺的想法,經過教育訓練及工具的說明,才知道這種作法是很危險的。」加上叡揚資訊每季皆定期舉辦公開的教育訓練,並且發行資訊安全電子雙週報,針對不同資安議題提出分享討論,對於開發人員在軟體資訊安全知識的提升,有著非常正向的幫助。

逢甲大學地理資訊系統中心已通過CMMI Level 2的認證,所以安全性檢測已融入CMMI的流程領域(Process Area)中,程式碼在稽核過程一定要產出相關文件,工作才能算通過。系統交付客戶端時,一倂檢附相關報告。所以對於Fortify SCA工具抓出來的漏洞,提高系統零缺失的機率。

逢甲地理資訊系統研究中心 小檔案

主要發展:
GIS、GPS、RS等空間專業知識或「資源管理」、「工程管考」、「便民服務」、「數位學習」、「車隊監控」、「災害防救」、「監驗管理」、「資料倉儲」及「3D GIS應用」技術研究與系統開發工作量多,主管無法有系統的管理交代辦理(或因會議而產生的交辦)、追蹤與提醒事宜。

導入產品:
Fortify Source Code Analyzer

導入時間:
2009年初

導入原因:
在開發階段就透過開發環境做檢測,並為結合CMMI流程執行稽核,於程式開發階段即早發現錯誤修正,降低修復的成本並建立專案品質。