應用程式安全漸受重視人為習慣與管理依然為其盲點

2009 / 10 / 12

吳依恂

約從兩年前開始，在政府推動等因素下，應用程式的安全逐漸的受到重視，一直延續到今年，不管是源碼檢測、應用程式弱點掃描、網頁應用程式防火牆等各式各樣的應用程式安全工具持續收到企業用戶的關注。

源碼檢測工具供應商Fortify代理商叡揚資訊軟體安全顧問范家禎提到，如今應用程式安全的挑戰主要在於兩個方面，一是內部溝通問題，許多企業的資安團隊與應用程式開發團隊是分開的，撰寫程式的人員可能並未具備安全撰寫程式的意識，而即使有這樣的觀念也很難短時間之內改變習慣，這也可能造成開發速度的拖延，但是安全問題若未能從根本解決，讓程式開發人員寫出安全的程式碼、具有安全的系統架構，未來問題只會越來越多。

其二則是委外管理的問題，有許多企業在進行委外時往往未將應用程式的風險納入考量，沒有要求委外廠商將原始程式碼的安全性考慮進去，或者應該說是根本沒有把關，因而造成日後發現問題時，要全盤整修恐怕會花去更多的成本。

而近年來在國內除了源碼檢測、應用程式弱點掃描之外，網頁應用程式防火牆(Web Application Firewall)也同樣受到矚目，范家禎說，WAF在國內企業裡的角色往往是暫時性的阻擋，然而在國外扮演的角色則是監控為主，並且搭配被認為是治本的源碼檢測或應用程式弱點掃描等方案。她也認為，先期著重在導入工具，進階則應該逐步走向資安的能力成熟度整合模式(CMMI, Capability Maturity Model Integration)，也就是要能夠跟內部的其他系統有完整性的審視及整合。

應用程式安全源碼檢測應用程式弱點掃描 WAF 應用程式防火牆 code review