雲力橘子攜手 OpenText 力推軟體開發安全

2024/10/28

軟體開發安全的觀念持續演進，從 SDLC 到SSDLC（ S e c u r e S o f t w a r e Development Life Cycle），到容器上雲帶動了安全左移，對開發團隊而言，不安全的企業軟體造成的問題造成的傷害遠大於功能不足。iThome 2024 CIO 大調查就發現，導入 DevSecOps 與 AIOps 的企業比去年多了一倍。軟體開發與安全設計必須雙線並進，才能兼具品質與安全性，進而降低企業的資安風險，也正因為如此，雲力橘子與 OpenText 透過專業服務與完整工具的結合，為企業提供落實DevSecOps 的助力。

串連生態圈、整合 AI 的ValueEdge DevSecOps

OpenText 的自動化測試工具在台灣擁有 8 成市佔率，關鍵就於 OpenText 的策略並非強迫團隊統一開發工具，而是串連整體生態圈。同樣的策略，也展現在以 SaaS 服務形式提供的 ValueEdge DevSecOps 全方位框架。ValueEdge DevSecOps 的功能模組涵蓋策略制訂、敏捷開發和 DevOps、品質檢測、壓力測試、功能測試、版本交付，以及新增的資訊安全，這些功能模組皆具備 AI 能力，而且將所有 DevSecOps 資料全部統合於 ValueEdge Insights 儀表板。OpenText 資深顧問李建宏指出，DevOps 和

DevSecOps 都是冗長工具鏈的整合過程，開發團隊在每個程序會有各自偏好的工具，但這些工具必須經過良好整合才能發揮效益，這也正是ValueEdge 的價值，全方位整合各式各樣的第三方工具如版控和 CI Server，從開源軟體到企業級工具皆涵蓋在內。

舉例來說，以 ValueEdge 整合開發人員的CI Pipeline，可以將 CI Server 的資訊直接帶入DevSecOps 平台，在 ValueEdge 介面就能直接檢視功能測試或資安掃描測試的結果。此外，由於 DevOps 和 DevSecOps 需要不同專業人士的參與，ValueEdge 內建超過 50 種儀表板的樣板可直接套用，滿足開發、資安等不同專家的獨特需求，快速掌握組織內的運作及需要加強之處。新增的 ValueEdge Security 模組屬於 Fortify 生態圈的一環，提供靜態掃描、動態掃描，以及根據組織資安政策的客製化掃描，廣泛支援全球主要的安全規範及超過 30 種開發語言。更重要的是，ValueEdge Security 與 CI/CD 生態圈有廣泛整合，確保對 DevSecOps 的落實。至於全面落實的 AI 能力，OpenText 的 AI 機器人Aviator 採用口語對話提供協助的智慧助理，包括AI 協助將開發功能自動生成 User Story, User Story 自動生成手動測試案例及步驟, 再自動生成口語化自動化測試腳本；或是分析 Defect，協助開發人員判斷功能失敗的原因、影響及建議如何修改。藉由OpenText 的 AI 機器人 Aviator 協助，讓開發測試工作事半功倍！

企業安全威脅分析及對應方法論

資安問題層出不窮，然而面對未知的問題才是最難以應付的事情，因此可以透過威脅建模，讓大家即早識別威脅，並進行妥善的風險處置，更容易使企業提升到期望的資安強度。雲力橘子資安研發部技術副理蔡龍佑表示，威脅建模沒有標準答案，每家公司的問題和承受能力各不相同，重點在於企業必須討論出需要優先處理的問題，據此建立基準線，定義屬於企業的信任邊界（Trust boundary），再參考方法論來落實。然後再參考使用威脅建模的方法論，如：stride,pasta 等。一般而言第一個步驟是識別資源與元件，例如：資產、參與者、入口點、元件、使用案例、信任級別。接下來，第二個步驟是發掘威脅並製表；第三個步建風險矩陣（Risk Matrix），並根據針對每一項目進行討論規劃設計適當的風險處理機制，最後就是定期追蹤問題，判斷威脅是否已充分緩解。而應用程式本身除了導入安全檢測如：原始碼檢測、網站弱點掃描、滲透測試等。也可以參考 OWASP 的 ASVS 強化應用程式，降低上線前安全檢測造成的弱點修補負擔。蔡龍佑副理也分享了兩個常見的威脅情境。首先是小型製造業，先前由於疫情而採取遠端工作，但也因此讓防線大開而不自知，導致駭客由公司滲透到工廠、由 IT 入侵到 OT（Operation Technology）的狀況。另一個情境發生在金融業，由於核心銀行系統是重中之重，主管機關及相關法規對上雲有所規範，銀行通常先從網路廣告等小型專案試行上雲，但忽略了對外的雲端服務也擴大了銀行的風險邊界；此外，提供給協力廠商的帳密也是常見破口。組織可以提升威脅建模會議成員組成的多元化，因每個人各有專業，儘可能收集大家的想法和情境，包括各種匪夷所思的用法。威脅建模的目的是看到問題及風險，而非立刻解決，因為有些問題未必能解決，唯有先確定企業想要保護的標的，才能將有限的資源做合理的配置。

多雲安全態勢與雲 DevOps 安全管理

雲端安全的問題在於雲上的資產都可能被設定成公開，例如：儲存體（Object Storage）、容器、Kubernetes；此外，雲端帳戶權限過大或未啟用多因素驗證亦是常見問題。據統計，55% 的的雲端資料外洩事件是人為原因，問題多半出在配置錯誤導致破口，而非駭客高超的入侵手法。雲力橘子資深雲端架構師陳學耕指出，雲環境安全管理的困境來自多帳戶，例如：測試、開發就是不同帳戶，每個帳戶都是各自獨立的雲資源，連使用的網路（VPC）也是隔離的。橘子集團的現況就是最佳例證，由於集團的子公司、分公司眾多，獨立運營環境超過 10 個，使用的公有雲更橫跨AWS、Azure 和 GCP。

身為橘子集團的成員，兼具使用者和服務商的雙重身分，雲力橘子根據上述經驗歸納出多雲安全運營環境的三大管理目標，首先是持續性安全監控，也就是將安全運營中心（SOC）延伸到雲端進行監看；其次是持續性合規管理，例如：確保雲環境符合 ISO 27001；再則是確保操作安全基準，例如：遵循每家公有雲所提供的配置建議（Best Practices）。

安全工具必須提供從開發到運行（Code to Cloud）的保護，雲力橘子身為 SOC 服務商，在雲 SOC 資安監控採取了雲原生應用程式防護平台（CNAPP）來偵測分析雲環境的配置錯誤與異常活動。虛擬機器地整合 SOC 中心提供 7x24 資安威脅監控，運營優勢在於單一雲地資安監控中心、跨多雲資安監控、雲地交叉關聯分析。陳學耕表示，雲 DevSecOps 安全管理必須兼顧八大要點，包括持續監控、雲平台安全配置、IaC 安全、軟體組成安全分析、容器安全、Repo 安全、金鑰安全、弱點管理。雲力橘子基於八大要點，推出雲端資安健診與合規性檢視服務，確保以 DevOps 開發的現代化應用程式或雲原生應用程式從開發到運行的安全性。

原文連結: https://ithome.com.tw/pr/165627