• 首頁
  • 成功案例
  • 成功案例 - 邁向 DevSecOps 的最後一哩路 叡揚資安服務全面支援助遠銀加速開源創新
前往目錄

成功案例 - 邁向 DevSecOps 的最後一哩路 叡揚資安服務全面支援助遠銀加速開源創新

撰文 | 轉載 iThome
約 7、8 年前,隨著 Bank 3.0 概念發酵,掀起金融業的數位轉型浪潮。遠東國際商業銀行(以下簡稱『遠東商銀』)亦於此時成立數金單位,務實推動數位化策略,不盲從追逐最新金融科技,而是以實質效益為依歸,從「數位轉型」、「數位再進化」穩步邁進「數位創新」階段,順勢在 2019 年孕育數位次品牌 Bankee 、成功開創全臺首家社群銀行。

原文連結:邁向 DevSecOps 的最後一哩路 叡揚資安服務全面支援助遠銀加速開源創新|iThome

  

checkmarx2

 遠東商銀副總經理胡營欽(中)、資訊科技總開發二處處長林銘治(右)、資深副理林建宏(左) 

約 7、8 年前,隨著 Bank 3.0 概念發酵,掀起金融業的數位轉型浪潮。遠東國際商業銀行(以下簡稱『遠東商銀』)亦於此時成立數金單位,務實推動數位化策略,不盲從追逐最新金融科技,而是以實質效益為依歸,從「數位轉型」、「數位再進化」穩步邁進「數位創新」階段,順勢在 2019 年孕育數位次品牌 Bankee 、成功開創全臺首家社群銀行。

遠東商銀副總經理胡營欽表示,數位轉型初期,該行沿用傳統三層式 IT 架構,但後來漸漸發現,單憑傳統架構,越來越難以應付突如其來需求量,連帶無法滿足業務發展需要。因此在高層主管與各業務單位的力挺下, IT 團隊發起「大中台計畫」,力求解構單體式服務,藉由微服務、 API 等新技術來推動 AP 架構轉型。

在遠東商銀的技術轉型旅程中, CI/CD (持續性整合/部署)、 Open API 皆可謂關鍵基礎工程,尤其 CI/CD 更是重中之重。 IT 團隊不僅利用開源持續整合工具 Jenkins 打造 CI/CD 流程,更持續深化 DevOps 功能的廣度和深度;與此同時,該行認為儘管引用開源元件有助於加速創新,但若不善加管理,恐衍生資安漏洞、開源授權爭訟等風險,且這些風險很難經由人工辨識。

基於提升資安風險檢測能力的迫切需求,遠東商銀 IT 團隊經過縝密評估,拍板引進叡揚資訊代理的「 Mend.ioOpen Source 管理及檢測工具,一方面達到全面 Open Source 管理,透過共用元件庫,讓所有 AP 開發者集中下載合法開源元件;二方面 Mend.io 也能整合到遠東商銀既有 CI/CD 流程,產出SBOM (軟體物料清單)與開源軟體風險報告。

內圖

遠東商銀秉持著誠、勤、樸、慎及創新之經營理念,致力於為大中華市場之客戶提供最完善之金融理財方案。

  

加強管控開源元件,消弭資安與侵權風險

  

胡營欽指出,透過與叡揚的合作,遠東商銀希望運用開源檢測工具,一併解決元件版權、 漏洞、版本控制三大問題,及早清除潛在禍患、安心擁抱開源技術。延續過往將白箱檢測掃描工具整合至 CI/CD 流程的經驗,期盼依循同樣模式,把開源碼檢測工具整合入內,作為遠東商銀 IT 團隊五大策略,「擁抱 Open 」、「 Enable AI 」 、「跨業整合」、「虛實整合」與「資安優先」的實踐,並且從 DevOps (開發維運)進化為 DevSecOps (開發安全維運)。

遠東商銀資訊科技總開發二處處長林銘治表示,在引用開源元件初期,因使用量不大,尚可交由 AP 開發者各自控管,沒有大礙;但隨著元件數量攀升,就必須採取集中化、系統化管理模式,藉由共用的元件庫統一辨識與控管風險;所以需要引進相關檢測工具,與 CI/CD 流程整合,再挑選若干示範系統執行先導測試,待確認開源管控流程順暢無誤,再上線部署至所有系統。

林銘治重申,在專案導入的過程,廠商專業支援能力是遠東商銀最重視的條件之一;為了印證這一點,在遴選過程也相當坦白,讓各個廠商直接面對難題。唯有展現既好又快的整合服務能力,加上產品品質無虞,才有機會過關;他坦言,後續的實作過程,其實還有許多更具挑戰性的問題。

比如,遠東商銀要求提供相關 Script 範例,協助行內各個開發組別修改 Script ,讓開發者在編譯程式時都能正確指向共用元件庫的需求要能符合需求又能因應快速便捷的檢測流程,方能贏得遠東商銀的信賴。叡揚以對產品 Mend.io 的高度嫻熟整合能力,輔以扎實技術底蘊,展現不俗解題功力,因而奠定勝基。

事實上,從遠東商銀的嚴謹要求,也能看出叡揚在產品以及服務支援上的服務優勢。首先,考量開發專案時程緊湊,必須要求檢測工具的掃描速度快速;其次,資料庫更新頻率要及時,隨時支援最新漏洞及版權資訊;第三,須支援多種程式語言,以因應各類系統檢測;第四、工具操作介面要簡單便捷,避免造成開發者不必要的學習門檻,因而降低使用意願;最後則是廠商的專業支援能力。以叡揚團隊及其產品 Mend.io 而論,以上五項遴選條件的表現皆完全符合要求,最終雀屏中選。

  

叡揚專業與敏捷並重 贏得遠銀信任

   

除了專業支援能力,調度整合服務的敏捷力則是叡揚服務上的另一個優勢。因遠東商銀要求開源檢測工具 除掃描單一系統外,還需離線掃描整個元件庫並產出SBOM (軟體物料清單)。林銘治分析,不論是因應現在的遠東商銀需求以及其他客戶,若要能達到資安規範,進而集中納管開源元件,必定有 SBOM (軟體物料清單)的需求,因此,即便確實存在技術瓶頸,仍對叡揚「解題」能力深具信心。畢竟,只要突破瓶頸,就能佔據未來企業選商的有利地位。叡揚也因不負遠東商銀之託,迅速動員內部研發技術結合原廠官方資源,在短短兩週內即完成整合客製化任務,堪稱合作典範。

叡揚專業支援能力,也展現在內部導入上。截至目前,遠東商銀行內共百餘套系統中,近半數已納入 Mend.io 檢測適用範圍,意謂這些系統不管源自內部開發或委外開發,皆需要在 DevOps 平台一起被納管與編譯,不但要接受白箱檢測,且需同步以完成第三方元件庫掃描,並確認完成風險辨識後,方能正式進入過版流程。後續未在本次專案先導範圍的系統,也將陸續加入 Mend.io 檢測管控範疇,預計明年(2024)第二季整合完畢。

胡營欽強調, 與人工盤點掃描相比, Mend.io 不必靠人為登入系統與置入原始碼,而是完整自動地 Check Out 原始碼與執行掃描,省卻人工作業搬運檔案的時間,也完全消弭「未送檢」的漏網之魚,確保系統所有被引用的元件均無風險。此消彼長,不只速度快,也讓安全防護更為全面,更能減少人工作業上的誤差。

從 DevOps 到 DevSecOps ,在這名詞轉換的背後,更代表企業在開發流程與文化上的變革。不論是基於版控、內部資安規範、資安法、 ISO 27001 轉版、自動化整合追蹤..等各層面的要求與標準,是所有企業在邁向數位轉型的同時,以上資安相關議題將不再只是 IT 團隊的事情,更是公司發展的策略基石;然而引入 Mend.io 專業產品及叡揚團隊的高度整合支援能力兼具的資安夥伴共同合作,使企業 IT 團隊更加信任,且專注於開發及維運上的本務,為各行各業客戶帶來更有共感、更專業精緻的優質服務。

  

瞭解更多 Mend.io 解決方案:https://www.gss.com.tw/mend-io

最新 Mend.io 白皮書下載:解析 Open Source 授權條款:一次了解所有必知知識!