https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

[專訪]數位資安系統引進Veracode雲服務 推動第三方檢測新觀念

2015 / 05 / 23
編輯部
[專訪]數位資安系統引進Veracode雲服務 推動第三方檢測新觀念
    隨著商業環境變化日益快速,企業為讓有限資訊預算發揮最大效益,逐漸引進資訊委外服務,將設備維護或軟體開發交由專業資訊公司處理,根據Gartner公布的研究結果顯示,2013年全球IT委外市場規模約為2880億美元,2014年將會3000億美元大關。

    儘管資訊委外已經成為一股趨勢,但其中仍然有很多與合約雙方責任與權益相關的問題需要釐清,特別是在全球資安威脅不斷出現的狀況下,企業要如何確認業者開發的軟體是否符合資安標準,而軟體開發商能否事先取得軟體認證,以便夠取得企業客戶的信賴。

    數位資安系統總經理蘇隄指出:「一般來說,要評斷軟體安全性最常見作法,即是透過原始碼檢測的方式,確保廠商在程式撰寫過程中沒有留下任何後門或漏洞。只是廠商不見得願意將原始碼交給客戶,而客戶又不見得相信廠商自行執行的檢測報告。」

引進Veracode雲服務 克服資訊委外新挑戰
    原始碼檢測是一種較能夠確認軟體是否安全的方式,只是軟體開發商在保護商業機密的前提下,多半不願意提供原始程式碼。為此,數位資安系統特別與全球第三方公正單位-Veracode合作,提供台灣一個高自動化、高擴展性、低誤判率的安全測試平台,協助軟體供應商快速找出真實的軟體風險,迅速軟體存在的解決問題。
    蘇隄說,Veracode是透過雲端平台提供檢測的服務,可適用於任何類型的應用程式開發,如內部開發、委外開發、商用軟體、Open Source、企業型、桌上型和行動 App。該公司提供多種檢測方式,如Binary分析、動態黑箱弱點掃描、人工滲透測試等,讓軟體開發商與企業用戶有共同一致性的衡量標準,以及可以檢視所有關鍵性指標的整合式儀表板,包括弱點指數、合規性進度,以及和員工線上學習效益。

    Veracode是專門從事軟體漏洞檢測的第三方公司,SaaS平台位於 SAS70 Type II,並經Systrust認證的高度安全資料中心,可提供24x7 全年無休的應用系統安全服務。在此前提之下,軟體業者無須擔心原始碼會有洩漏疑慮,反而能夠藉此取得企業用戶的信任,讓委外服務能夠更順利完成。

    「軟體廠商也能針對測試結果,進一步跟Veracode安全顧問討論測試項目與內容,確認問題的癥結點與改進方式。」蘇隄指出:「數位資安系統已經取得Veracode SaaS服務的大中華區代理權,可以提供企業與軟體業者最需要的技術支援,讓第三方檢測的觀念逐漸在台灣成行。」

保護行動裝置安全 數位資安系統有一套
    數位資安系統除大力推動第三方檢測服務之外,也看準智慧型手機已經成為駭客入侵企業的新管道,在現今MDM、MAM軟體功能不足的狀況下,台灣企業正面臨前所未有的新挑戰。因此,該公司便以SmartCurtain專利的推出微空間定位技術,能讓企業在控管設備的安全之餘,還能同時兼顧員工個人的權益。

    蘇隄表示,MDM或MAM很難有效管理公司內部的智慧型手機,所以有些企業乾脆禁止員工攜帶照相手機進入公司內部,但此舉不僅可能會影響到工作效率,也會引起員工反彈。而數位資安系統推出的SmartCurtain專利的推出微空間定位技術,則可以在員工進入公司後,自動關閉智慧型手機中的照相功能,若搭配小型金屬探測機,甚至還可以找出刻意夾帶未註冊手機的同仁。如此一來,即可讓企業放心打造行動辦公室,讓同仁享受到兼具便利與安全的工作環境。