[專訪]數位資安系統引進Veracode雲服務推動第三方檢測新觀念

2015 / 05 / 23

編輯部

    隨著商業環境變化日益快速，企業為讓有限資訊預算發揮最大效益，逐漸引進資訊委外服務，將設備維護或軟體開發交由專業資訊公司處理，根據Gartner公布的研究結果顯示，2013年全球IT委外市場規模約為2880億美元，2014年將會3000億美元大關。

    儘管資訊委外已經成為一股趨勢，但其中仍然有很多與合約雙方責任與權益相關的問題需要釐清，特別是在全球資安威脅不斷出現的狀況下，企業要如何確認業者開發的軟體是否符合資安標準，而軟體開發商能否事先取得軟體認證，以便夠取得企業客戶的信賴。

    數位資安系統總經理蘇隄指出：「一般來說，要評斷軟體安全性最常見作法，即是透過原始碼檢測的方式，確保廠商在程式撰寫過程中沒有留下任何後門或漏洞。只是廠商不見得願意將原始碼交給客戶，而客戶又不見得相信廠商自行執行的檢測報告。」

引進Veracode雲服務克服資訊委外新挑戰
    原始碼檢測是一種較能夠確認軟體是否安全的方式，只是軟體開發商在保護商業機密的前提下，多半不願意提供原始程式碼。為此，數位資安系統特別與全球第三方公正單位-Veracode合作，提供台灣一個高自動化、高擴展性、低誤判率的安全測試平台，協助軟體供應商快速找出真實的軟體風險，迅速軟體存在的解決問題。
    蘇隄說，Veracode是透過雲端平台提供檢測的服務，可適用於任何類型的應用程式開發，如內部開發、委外開發、商用軟體、Open Source、企業型、桌上型和行動 App。該公司提供多種檢測方式，如Binary分析、動態黑箱弱點掃描、人工滲透測試等，讓軟體開發商與企業用戶有共同一致性的衡量標準，以及可以檢視所有關鍵性指標的整合式儀表板，包括弱點指數、合規性進度，以及和員工線上學習效益。

    Veracode是專門從事軟體漏洞檢測的第三方公司，SaaS平台位於 SAS70 Type II，並經Systrust認證的高度安全資料中心，可提供24x7 全年無休的應用系統安全服務。在此前提之下，軟體業者無須擔心原始碼會有洩漏疑慮，反而能夠藉此取得企業用戶的信任，讓委外服務能夠更順利完成。

    「軟體廠商也能針對測試結果，進一步跟Veracode安全顧問討論測試項目與內容，確認問題的癥結點與改進方式。」蘇隄指出：「數位資安系統已經取得Veracode SaaS服務的大中華區代理權，可以提供企業與軟體業者最需要的技術支援，讓第三方檢測的觀念逐漸在台灣成行。」

保護行動裝置安全數位資安系統有一套
    數位資安系統除大力推動第三方檢測服務之外，也看準智慧型手機已經成為駭客入侵企業的新管道，在現今MDM、MAM軟體功能不足的狀況下，台灣企業正面臨前所未有的新挑戰。因此，該公司便以SmartCurtain專利的推出微空間定位技術，能讓企業在控管設備的安全之餘，還能同時兼顧員工個人的權益。

    蘇隄表示，MDM或MAM很難有效管理公司內部的智慧型手機，所以有些企業乾脆禁止員工攜帶照相手機進入公司內部，但此舉不僅可能會影響到工作效率，也會引起員工反彈。而數位資安系統推出的SmartCurtain專利的推出微空間定位技術，則可以在員工進入公司後，自動關閉智慧型手機中的照相功能，若搭配小型金屬探測機，甚至還可以找出刻意夾帶未註冊手機的同仁。如此一來，即可讓企業放心打造行動辦公室，讓同仁享受到兼具便利與安全的工作環境。

Veracode 數位資安軟體漏洞 SmartCurtain