中國醫藥大學附設醫院邁向智慧醫院 全力落實軟體生命週期管理

資安即病安。在邁向智慧醫療過程中，中國醫藥大學附設醫院認為必須落實軟體生命週期管理，才能保護病患隱私與醫療系統的安全。所以選擇引進零壹科技代理的Lucent Sky AVM，從軟體開發階段即著手進行程式碼檢測工作，全力提升軟體開發專案品質，減少被惡意程式入侵的機率。

在全球各地持續爆發的各種資安事件，不少都是源自於開發人員使用含有漏洞的開發工具或套件，現今企業在持續強化整體資安防護力外，也意識到從軟體專案開發階段引進程式碼檢測工具的重要性。如身為臺灣中部四大醫學中心之一的中國醫藥大學附設醫院，即在羽昇國際協助下引進零壹科技代理的Lucent Sky AVM，藉此達到提升軟體專案開發品質。

中國醫藥大學附設醫院資訊副院長陳俊良指出，在發展智慧醫院過程中，醫療資訊系統勢必會從傳統封閉架構走向開放架構，因此我們必須主動提升軟體開發品質，才能達到強化整體資訊系統的安全性，有效保護病患的醫療隱私。引進Lucent Sky AVM之後，開發團隊可在軟體專案的各階段進行程式碼檢測，落實軟體生命週期的管理工作，為發展智慧醫療奠定安全無虞的穩健基礎。

醫療系統走向開放架構 面臨資安威脅勢必暴增

取得HIMSS EMRAM、INFRAM最高等級認證、AMAM第六級認證，獲得DAVIES AWARD肯定的中國醫藥大學附設醫院，秉持「以病人為尊、以員工為重、以醫院為榮」的核心價值，以發展成為「卓越優秀的國際一流醫學中心」與「全球卓越有特色的高科技生醫園區」的目標邁進。因應全球醫療及科技的發展趨勢，該院以大數據與雲端平臺、醫療AI、醫療BI等三大技術為核心，勾勒智慧醫療藍圖，全力發展特色醫療、尖端醫療、人工智慧醫療、精準醫療、數位產業等，實踐守護民眾健康的承諾。

在發展智慧醫療過程中，中國醫藥大學附設醫院計畫發展一套病患回報系統，讓病患在完成治療回家休養時，可藉此主動回報身體狀況，作為下次醫生後續治療的參考。特別是在智慧物聯網技術的蓬勃發展下，許多病患都會隨身配戴的生理檢測設備，日後也能透過此系統自動上傳脈搏、心跳等資料，讓醫生能準確掌握病患的生理狀況。考量到醫療系統走向開放架構後，將面臨前所未有的資安威脅，因此該院決定引進程式碼檢測工具，從軟體開發階段開始自主檢測，全力減少醫療資訊系統的潛在漏洞。

陳俊良表示，「過往在提升整體資安防護力的前提下，我們委由外部資安公司針對網站、掛號系統等外部主機，每年實施一次弱點掃描，並會針對掃描結果進行修補。但是在邁向智慧醫院過程中，一年一次的弱點修補機制顯然不足，引進程式碼檢測方案絕對有其必要性，才能從源頭減少應用系統的弱點與漏洞。在市面上眾多工具中，最終我們選擇了Lucent Sky AVM。」

自動產出檢測報告與修正建議 降低開發人員工作負擔

在市面上中眾多程式碼檢測方案中，中國醫藥大學附設醫院選擇 Lucent Sky AVM 的主因，在於產品具備易於使用的操作介面，且檢測完成後的報告包含能立即修正弱點的 Instant Fix。對工作繁重的開發人員而言，不僅能大幅降低學習曲線，也能了解現有軟體專案的弱點與風險，且能依照報告中的 Instant Fix 和建議快速修正軟體專案中的弱點。

Lucent Sky AVM採用獨家研發的分析和修正演算法，能掃描程式碼、二進位檔案、第三方元件中的弱點，並支援 CWE、CVE、CVSS、OWASP ASVS、OWASP Top 10、PCI-DSS 等安全標準與弱點清單。其次， 產品完成掃描、產出報告後，自動修正功能也會同步提供能力及修正程式碼中弱點的 Instant Fix 以及針對不安全第三方元件的更新指引，讓開發人員可直接套用安全的程式碼，縮短修正弱點及驗證安全性的時間。

中國醫藥大學附設醫院指出導入Lucent Sky AVM後的好處甚多，如弱點可在報告產出之後數天內完成修復，較於過往得跟委外資安公司討論，整體修復時程快上許多。其次，開發人員也能從完整檢測報告中得知，應用系統產生弱點的原因，日後在程式碼撰寫時可主動避免，對於提升軟體專案品質大來極大效益。

陳俊良說，在引進Lucent Sky AVM之外，我們也同步著手建立開發套件管理機制、建立使用手冊等，要求開發團隊必須使用相同版本的開發套件，避免因為開發套件版本差異，造成資安漏洞與後續維運問題。中國醫藥大學附設醫院希望透過多管旗下方式，做好軟體生命週期管理專案，全力扮演醫院發展智慧醫療的最佳後盾。