雲力橘子攜手 OpenText 傳授實務心法，翻轉企業 DevSecOps 戰力

2025/04/07

隨著資安事件頻傳，使各界更加重視DevSecOps 議題。許多企業期望將立即性威脅檢測及回應機制融入 DevSecOps 流程中，藉此在加速交付軟體的同時，亦能確保安全性。為此雲力橘子偕同 OpenText、邁達特數位等夥伴，於日前舉辦「DevSecOps 革新：開創全面威脅檢測與快速響應的新時代」研討會，藉由相關案例與工具的介紹，引導企業落實自動化安全監控與威脅檢測，進而制定高效的事件響應策略。

OpenText 臺灣暨香港總經理 Steven Lee 表示，現今各行各業均將自己視為軟體公司，因為所有企業都需要有自己的應用程式和網頁來協助營運，且由於市場變動加劇，所以必須盡力縮短軟體開發週期。但與此同時，假使軟體出現品質或資安問題，後果不堪設想。因此 OpenText 運用 AI 技術強化 DevSecOps 方案的內涵，幫助企業快速完成軟體開發，同時間也能提升軟體品質並防止資安漏洞。

雲力橘子資深經理 Ryan Lee 指出，DevSecOps 為開發、安全、維運三者的組合。持平而論，要做好 DevOps 已不容易，如今納入資安，且需避免拖累開發效率、兼顧安全面向並確保最終順利維運，確實有難度。因此雲力橘子透過本次研討會分享眾多實務經驗，涵括安全部署的注意事項、檢測後的弱點管理面向，及如何透過 AI 加速實踐 DevSecOps，盼能給予企業啟發，讓 DevSecOps 旅程更暢行無阻。

AI 工具助陣，有效管理軟體安全開發流程

雲力橘子軟體開發安全部資安顧問林秉正率先開講，闡釋弱點管理的困境與突破。他觀察到隨著時序推移，客戶提問的重點出現變化，從早期「怎麼修」、中期「怎麼閃」演變為現今「怎麼樣更好」。

所謂「怎麼修」，意指客戶認真詢問如何修復安全弱點，表現出對技術方案的強烈追求。無奈弱點修復難題不少，如掃描耗時、時間緊迫、上線壓力等，導致部份客戶轉而關注「怎麼閃」，目標著重放在專案上線，盡可能找方法避免弱點發生。幸而後來伴隨 AI 工具發展、可望降低弱點修復的技術門檻，加上此時許多企業急欲解決管理問題，於是探詢「怎麼樣更好」，意即如何有效管理軟體安全開發流程。

他建議企業把安全「左移」到適當階段，以果核做法，便是在建置階段導入自動化掃描，力求及早發現並解決弱點。欲實現安全左移有三大前提，包含檢測工具必須直接整合至 IDE、能夠支援 CLI、且與 CI/CD 工具搭配使用，如 OpenText Fortify 即可同時滿足三項要件。

OpenText 資深技術顧問李建宏接力發表演說，分享 AI 助理如何對 DevOps 生命週期管理產生助力。他表示 OpenText 的 DevOps AI 平台名為 SDP（Software Delivery Platform），它貫穿從 Plan、Build、Test、Deliver 到 Run 的完整 SDLC 週期；截至目前 SDP 已推出 SaaS 版，預計明年初（2026）推出落地版。

值得一提，上述 SDLC 流程中的所有功能都已導入 GenAI，讓多種角色都能因 OpenText Aviator 智慧助理而受益。例如 AI 能協助 BA 做需求功能描述，協助 Developer 將需求轉為用戶開發故事，協助 QA 生成手動測試案例及自動化測試腳本，也協助 Developer 和 QA 解決缺陷（Defect）；前面提到的所有角色，皆可基於 AI 技術、利用影片方式生成測試步驟。

落實安全部署，並積極推動安全監控技術革新

進入研討會後半場，來自雲力橘子的兩位專家輪番登場。其中雲力橘子技術開發二部資深經理蔡昆達，將演題設定為「安全部署的注意事項」。他首先提供一項值得參考的 DORA 報告，起源於Google 旗下 DevOps 研究與評估組織，其中定義四大軟體交付指標，包含更新準備時間、平均部署頻率、變更失敗率、平均復原時間，依評分高低，將各個 DevOps 團隊區分為菁英、高階、中階與低階層級；目前臺灣多落在中或低階，逐漸邁向 DevOps 自動化的串接結構。

他認為安全部署在整個 DevSecOps 流程裡扮演「分水嶺」角色。針對 CI 過程，即便整合程序出狀況，問題都在內部，不會讓對外服務發生異常；但如果過了部署門檻，便成為對外提供的服務，此時一旦出狀況，可能導致企業遭受損失或陷入營運中斷處境，顯見安全部署極為重要。若企業想做好此事，建議應注重變更內容的安全性與一致性，採取漸進式曝光部署模型、依執行結果逐步擴大範圍，在部署的每個階段前先確認系統通過健康檢查，以及假設部署過程中偵測到異常或錯誤、應立即停止部署並進行系統回滾。

另外企業應搭建開發、資安與維運三方協作機制，並致力打造 DevSecOps Feedback Loop，將安全回饋到開發及營運的每個階段，形成快速迭代、持續改善的正向循環。擔任壓軸講者的雲力橘子資訊安全部主任李俊廷，分享如何實現安全監控的技術基礎。他強調資安監控的主要目的，是為了防止資料外洩、駭客攻擊、勒索軟體等有害行為，避免重大資安事件發生而造成企業服務中斷。

惟隨著雲端、AI 等技術加持，導致駭客攻擊日新月異，更加讓人猝不及防。建議企業依事前（收集與分析資安威脅情資）、事中（透過 SIEM 整理分析日誌＋符合 SOC 關聯規則觸發案件）與事後（交付 SOC 監控服務報告＋專業顧問建議改善資安環境）等完整構面的 SOC 監控中心，再以此為基礎，融合最新技術趨勢以增強監控能量。例如在事中導入 SOAR，自動預防和回應網路攻擊。

總括來說，雲力橘子藉由本次研討會接連闡述弱點管理、AI 助理、安全部署及安全監控等多重心法，期盼協助企業打造安全與效能兩者兼顧的最佳 DevSecOps 架構。