強化軟體資安防護力 SSDLC成為軟體專案開發主流

(中央社訊息服務20231013 17:41:51)在確保軟體品質與如期交付等前提下，開發團隊都已制定涵蓋需求、設計、開發、測試、佈署維運等階段的軟體開發生命週期 (Software Development Life Cycle，SDLC)，確保軟體開發過程的每個階段都能符合客戶需求。但是SDLC流程並沒有融入資安思維，在現今駭客攻擊手法日新月異下，當軟體出現漏洞或其他資安風險時，企業往往只能透過後續修補方式進行改善，不僅成本非常高、資安風險也非常大。
考量到駭客多以透過多元化的管道入侵，因此，軟體開發初期就須考慮資安防護因素，訴求每個開發階段均須採取必要安全防護措施的安全軟體發展生命週期（Secure Software Development Life Cycle，SSDLC )，已成為目前軟體專案的開發主流。，且有團隊提供SSDLC軟體安全開發流程服務，協助開發團隊注入資安思維，藉由軟體開發流程導入資安設計，達到提升軟體品質，達到逐步提昇企業的資安防護能量。

兩大檢測服務相互搭配 提升資安防護能量
近幾年全球各地爆發軟體公司遭到駭客入侵，以此供應鏈攻擊手法入侵政府、中大型企業，目前有許多國家已透過法令方式，要求與公務機關合作的軟體業者必須繳交軟體組成分析（SBOM），藉此降低遭到惡意軟體入侵的機率。而SSDLC軟體安全開發流程服務在軟體安全驗測服務方面，提供靜態應用程式安全檢測（Static Application Security Testing, SAST）及軟體組成元件分析(Software Composition Analysis, SCA)的檢測工具，涵蓋原始碼弱點分析（Source Code Vulnerability Analysis）、軟體組成分析掃描(SBOM)、安全風險分析 (Security Risk)、軟體使用許可風險分析 (License Risk)、營運風險分析 (Operation Risk) 等項目。企業可藉由分析軟體碼弱點、軟體供應鏈的透明度與安全性、開源軟體社群活躍度，了解開源軟體已知風險和授權規範，確保軟體安全漏洞問題可被持續修復。
在網頁弱點掃描服務方面，則是訴求透過軟體系統資通安全分析及檢測平臺，為企業提供一套易於使用的自助式網頁掃描服務。企業可透過網頁腳本錄製器產生腳本之檢測路徑，提升網頁掃描之覆蓋率，且當檢測完畢之後，還可獲得深入的弱點議題檢測報告與修復建議，有助於強化網站的整體資安防護能力。以強化臺灣整體資安防護力為目標，臺灣物聯網產品開發廠商、系統整合商，或者對自家網站軟體安全有興趣的資通訊廠商，可善用SSDLC軟體開發流程的檢測服務，對提升軟體、網站安全將帶來極大幫助。