本期企業採購特輯的主題是「靜態程式碼安全性檢測工具」,這類型的產品能夠檢查比對程式碼,讓企業可以針對應用程式採取地毯式全面搜索,找出有安全疑慮的程式碼,再予以對症下藥。

近年來的多項調查與研究結果都指出,應用程式的安全漏洞逐年增加,而且有不少資料外洩事件,都是因為應用程式有漏洞,而讓有心人士有機可乘。

由偵九隊多年來查緝網路犯罪的經驗來看,他們發現大規模的個資外洩,主要是源自Web應用系統的漏洞,至於員工盜取資料的案例雖有,但截至目前為止並不多見。

因應新版個人資料保護法的到來,企業必須正視應用程式的安全性問題。雖然目前該法案在立法院只是二讀通過,而且仍處於藍綠版本協商的局面,但一些改變幾成定局,像是不再只約束特定的產業,而是各產業都必須遵循,以及求償金額可高達5千萬元等等,因此對於企業的衝擊可想而知。

企業要確實保管好個人資料,避免外洩,有許多環節要顧及,應用程式安全性只是其中一項而已,之所以要特別注意應用程式安全的原因,在於大家都知道應用程式的安全性問題,但長久以來卻一直無法有效解決。例如SQL Injection這個老問題,至今已經有超過5年的歷史了,但仍是駭客的慣用手法,而且攻擊成效還不錯。由OWASP(Open Web Application Security Project)這個組織公布的年度10大Web應用程式安全威脅中,植入式弱點攻擊手法(Injection Flaws),就名列威脅性排名第2名的位置。

幾乎所有的網站程式設計師都知道SQL Injection的威脅性,但實際上是,有些網站依然存在著這類的問題。

這其中有一個議題是,程式設計師是否有程式開發的安全觀念與技能;另一個議題則是,在實作時是否能落實。對於後者,有些企業在這方面並不完全信任程式設計師,畢竟人都會出錯。

基於人都會出錯的事實,嚴謹的作法除了包括在事前的教育訓練與宣導,還要在事後採取安全性測試。這其中企業會採用的方法,可大略分為黑箱測試與白箱測試兩種,本期企業採購特輯的主題──「靜態程式碼安全性檢測工具」就是屬於白箱式手法。這兩種方法各有優缺點,若能一併採行,就能獲得最好的效果。但是,現實的情況是企業的資源有限,因此需要依據公司的業務型態,找出適合的作法,在安全防禦上才可以獲得最好的成效。請見本期企業採購特輯的分析。(請見第24頁)

本期有幾則新聞值得特別注意。首先,1TB硬碟已經在近日跌破了3千元的門檻,這個價位帶一般都是容量價格比最好的地帶,也代表了硬碟的主流規格提升,可預期接下來個人電腦所配備的硬碟容量都將是1TB起跳。此外,教育界關心的,近日教育部已經核撥款項,也一併宣布了採購的方式,請見本期71億補助建置E化教室的計畫。(請見第16頁)


熱門新聞

Advertisement