Security and Tools

根據 CERT/CC 的統計，應用程式發現的

安全漏洞數目一直處於高度的成長，而

Microsoft 的安全情報報告、IBM X-Force 趨

勢及風險報告也都強調網頁應用程式為最需正

視資安問題之一，為避免這些漏洞所造成的威

脅，原始碼檢測是建構及驗證網頁應用程式安

全最有效的方法之一。

與叡揚資訊合作 導入 Fortify SCA 程式碼

安全檢測工具

「實際上，我們一直有在事前的預防這方面規

劃了三個面向去交叉驗證交易網站的安全性，

為白箱、灰箱及黑箱測試。」日盛銀行資訊

處金融系統部金融電子商務經理周信強笑笑

地說，為了因應日益嚴謹的資安政策趨勢，

著重廠商專業及服務 縮短檢測及摸索期快速擴大效益

撰文 | 叡揚資訊 行銷總處

強化源碼檢測 日盛銀行為客戶把關

預防勝於治療

根據美國 NIST 的研究報告指出，

應用程式在發布後進行修補其成

本比發布前進行修補高出 30 倍之

多！

圖說：日盛銀行資訊處金融系統部金融電子商務經理 周信強

| 叡揚e論壇 第70期 | MARCH 201336

尤其達到電子商務交易的安全、完整及確保

客戶權益的目標，故與叡揚資訊合作，導入

Fortify SCA 程式碼安全檢測工具，以更積極

主動的態度去面對不斷創新駭客攻擊的挑戰

並更加完善網站交易的安全。

有鑑於日盛銀網站已建置逾 12 年，且採

Pure Microsoft 的開發策略，隨著 Microsoft

開發工具的演進，網站歷經各階段不同程式

語言的轉換，但是大部分的程式碼安全檢測

工具都有語言版本的限制，增加引進的困難

度，「考量到對於 ASP 及 VB 的支援、檢

測效能與顧問服務，故最後決定委由叡揚資

訊協助導入 Fortify SCA 在最短時間內獲得

Domain-Know-How 及融入公司運作。」周

經理說。

價格＋功能評比＋合作廠商＝決定關鍵

不諱言地，對於大部分組織來說，源碼檢測

著重在營運風險的降低，而非獲利的創造，

「所以在評估時會對成本控制更為謹慎，避

免不必要的支出。」擁有 11 年資歷的周信

強經理強調，目前市面上有許多的檢測工

具，各家效能跟價格落差很大，要如何挑選

出符合自身組織的檢測工具的確是一個難

題，故如何在成本與品質上取得平衡，是此

次評估重點，「也就是說，價格並非是唯一

考量，功能評比效能更重要，其次還有合作

廠商之專業服務能力與對金融業環境之熟

悉，這三環缺一不可，如此才能建立一個完

整的流程與機制」。

人力精簡　故選商更重要

之所以會如此重視合作廠商之專業服務，乃

因資訊處人力偏屬精簡，開發人員不但必須

負責需求開發及專案建置，尚須兼顧源碼檢

測，而源碼檢測報告的產出只是第一步，其

最重要之關鍵為後天人工改善應用程式之弱

點，在如此消耗大量人力之下，周經理也直

言「剛接觸時，大家對於源碼檢測之機制，

一定是處在摸索階段，所以設定的目標不僅

是採購一套產品，更重要的是建立一套完整

的 SOP 流程圖，故需要叡揚團隊提供有效直

接地解決方案及教育訓練等輔助，方能縮短

檢測及摸索期，能更精準的進入運作軌道。」

「顧及成本、效能與後續服務，我們大概花

了半年的時間來作評估，最後篩選出來兩家

來評選，並請廠商來做產品 DEMO 實做、

測試報告及提供看法建議，最後經全方位衡

量下，我們決定選擇叡揚團隊！」在完成採

購流程及軟硬體建置後，請叡揚團隊引導完

成整套的源碼檢測流程，包括初次測試、

弱點討論及過濾，定義排外條件；第二次

檢測，確認弱點及應改善項目，提供改善建

廠商之專業及服務才是根本。

價格不是首要因素，評比內容

（ 如 功 能、 效 能、 廠 商 之 專

業 及 服 務 才 是 根 本 ） 故 先 定

義 採 購 目 標（ 成 本、 功 能 需

求、 專 案 時 程 ）， 市 場 產 品

資 料 蒐 集、 資 格 審 查、 邀 商

DEMO，確認最後評比廠商，

進 行 實 作 演 練 及 報 價， 最 後

決定採購產品。 ”

“

MARCH 2013 | 叡揚e論壇 第70期 | 37

資安工具 專欄 Column

Security and Tools

Security and Tools

一分鐘看專案

預期目標

1. 預期效果是能快速精準地找出網站程式

弱點，提供有效直接的解決方案，才能

在最短時間內，投入最少人力，就能提

升交易網站的資安強度。

2. 預期目標有兩項：

(1) 定期全面的檢測公司所有交易網站。

(2) 提供開發人員開發過程的檢測工具，

提升開發品質。

3. 希望導入及使用範圍：先定義在交易網

站平台，包括網路銀行、企業金融網、

網路 ATM、行動銀行、FFDI 及 FXML

等，日後再視需求逐步擴展到其他內部

系統。

評價

1. 迅速，涵蓋完整的程式語言，檢測報告

準確，弱點敘述詳細，積極的顧問服

務，完整的訓練課程。

2. 定義檢測條件，可客製化需求，及更準

確的確認弱點及應排外項目。開發輔助

工具，整合到 VisualStudio 開發工具，

作為開發過程的品質檢測環節，提升開

發品質。

Serv

ices

來說，以往講再多，業務單位都很難體會資安

重要性，而輕忽對資安的人力資源之投入，透

過 Fortify 來架構標準 SOP 後，將源碼檢測植

入營運管理流程運作，讓開發人員有更明確

的規範可依循及參考，並以執行結果作為 KPI

的量化評量因子，透過具體檢測報告向營管單

位說明目前網站的安全性及應改善的項目與預

估，更容易取得業務單位的支援。

議，執行改善開發；最後則是比對前後次檢測

報告差異，確認檢測執行成效。「整套流程下

來，讓同仁實際體驗源碼檢測，並建立資安概

念。」周信強經理謹慎地說，營運風險的管

理，相對之下是比較隱而不見，但是一旦有問

題就不是救火隊來撲個火就沒事，尤其現在又

有個資法需遵循，故當在執行源碼檢測時，不

但希望完護資安這道牆；實際上，更希望從源

頭做起，讓開發同仁可以從第一線就能架構資

安防護觀念，長期下來不但可以節省人力與時

間的成本，並且維持著一定的檢測品質。

執行結果作為 KPI　具體檢測報告更清楚　

目前日盛銀行以網銀為驗證項目，對於資訊處

| 叡揚e論壇 第70期 | MARCH 201338

工具是死的　廠商服務才能滿足需求　

「工具是死的，還是需要以人工搭配自動化

檢測工具才能互補有無！」周經理解釋說

明，對於弱點定義，Fortify 以資料庫為基

準，嚴謹比對源碼內容並產出測試結果，可

是有些防護措施不在資料庫的定義範疇內，

但已經過灰箱及黑箱檢驗並無風險，所以開

發人員必須和顧問協調後，確認是否要納入

排外規則；其中會因立場與認知差異，有不

同的看法，「在考量成本與效益之下，不可

其實一開始因為 Fortify 對於 VB 及 ASP 的檢測不如預期準確且檢測結

果頗多爭議有點失望。但是在跟叡揚顧問不斷互動中，藉由溝通瞭解內

部的現況與需求，顧問也能因應公司立場，不斷進行驗證與測試，終能

於期限內完成長官交付之任務，這點十分感謝叡揚的配合。

“

”能照單全收、全部都改，畢竟這可能會產生

不必要的人力時間成本之耗費」周經理說，

在這裡也感謝叡揚可以針對一些爭議處，持

續協調找出辦法，逐漸消彌僵持點。

最後，周信強經理也感謝團隊同仁全力配

合，「第一年一定是最辛苦的，相信這一步

站穩之後，藉由經驗與學習累積，可以提升

開發品質，並做好資安防護，達到雙贏之目

的。」

MARCH 2013 | 叡揚e論壇 第70期 | 39

資安工具 專欄 Column

Security and Tools