人都會出錯

本期企業採購特輯的主題是「靜態程式碼安全性檢測工具」，這類型的產品能夠檢查比對程式碼，讓企業可以針對應用程式採取地毯式全面搜索，找出有安全疑慮的程式碼，再予以對症下藥。

近年來的多項調查與研究結果都指出，應用程式的安全漏洞逐年增加，而且有不少資料外洩事件，都是因為應用程式有漏洞，而讓有心人士有機可乘。

由偵九隊多年來查緝網路犯罪的經驗來看，他們發現大規模的個資外洩，主要是源自Web應用系統的漏洞，至於員工盜取資料的案例雖有，但截至目前為止並不多見。

因應新版個人資料保護法的到來，企業必須正視應用程式的安全性問題。雖然目前該法案在立法院只是二讀通過，而且仍處於藍綠版本協商的局面，但一些改變幾成定局，像是不再只約束特定的產業，而是各產業都必須遵循，以及求償金額可高達5千萬元等等，因此對於企業的衝擊可想而知。

企業要確實保管好個人資料，避免外洩，有許多環節要顧及，應用程式安全性只是其中一項而已，之所以要特別注意應用程式安全的原因，在於大家都知道應用程式的安全性問題，但長久以來卻一直無法有效解決。例如SQL Injection這個老問題，至今已經有超過5年的歷史了，但仍是駭客的慣用手法，而且攻擊成效還不錯。由OWASP（Open Web Application Security Project）這個組織公布的年度10大Web應用程式安全威脅中，植入式弱點攻擊手法（Injection Flaws），就名列威脅性排名第2名的位置。

幾乎所有的網站程式設計師都知道SQL Injection的威脅性，但實際上是，有些網站依然存在著這類的問題。

這其中有一個議題是，程式設計師是否有程式開發的安全觀念與技能；另一個議題則是，在實作時是否能落實。對於後者，有些企業在這方面並不完全信任程式設計師，畢竟人都會出錯。

基於人都會出錯的事實，嚴謹的作法除了包括在事前的教育訓練與宣導，還要在事後採取安全性測試。這其中企業會採用的方法，可大略分為黑箱測試與白箱測試兩種，本期企業採購特輯的主題──「靜態程式碼安全性檢測工具」就是屬於白箱式手法。這兩種方法各有優缺點，若能一併採行，就能獲得最好的效果。但是，現實的情況是企業的資源有限，因此需要依據公司的業務型態，找出適合的作法，在安全防禦上才可以獲得最好的成效。請見本期企業採購特輯的分析。（請見第24頁）

本期有幾則新聞值得特別注意。首先，1TB硬碟已經在近日跌破了3千元的門檻，這個價位帶一般都是容量價格比最好的地帶，也代表了硬碟的主流規格提升，可預期接下來個人電腦所配備的硬碟容量都將是1TB起跳。此外，教育界關心的，近日教育部已經核撥款項，也一併宣布了採購的方式，請見本期71億補助建置E化教室的計畫。（請見第16頁）