由资安法规与金融产业经验掌握SSDLC机制.PDFVIP

Security and Tools SSDLC 撰文 | 叡揚資訊資訊安全事業處 行政院資安辦於 2015 年 7 月底頒佈「資 訊系統分級與防護基準作業規定」，其 中最矚目的重點就在於對安全應用系統開發周 期（SSDLC ）的要求。 SSDLC 在這份規定中，對應用系統發展生命周期主要 著墨於「系統與服務獲得」與「營運持續計 3 7 29 畫」兩章節中，在需求階段系統以檢核表確認 系統安全需求到開發階段的 OWASP TOP10 控 初期到後續變更管理的不同版本差異分析， 制事項及源碼檢測，再從測試階段的弱點掃描 都與版控軟體脫不了關係。初期，除了導入應 安全檢測，到部署與維運階段的版本控制與變 用系統弱點掃描（黑箱）工具與源碼檢測（白 更，其實都可以藉由變更管理軟體、源碼檢測 箱）工具，為不可或缺的資安把關工具外，源 白箱軟體與版本管理的整合，達到全自動化的 碼檢測工具與版控機制的整合，可以讓企業管 系統開發流程！ 控人員，清楚掌握源碼弱點修復的進度，同時 確保上線軟體均經過完善資安體檢。 對資訊委外一節，將 SSDLC 的安全要求均納 入委外合約為必要條件，建議機關與企業由弱 政府機關委外發展或維護資訊系統規模不亞於 點稽核為起步，再以長期合作關係，逐步要求 民間企業，因此，委外廠商很可能為駭客頭號 委外廠商強化開發系統資安觀念與習性。 下手對象，再借道其應用系統漏洞著手破壞需 求單位系統與竊取資料，需求單位對委外系統 SSDLC 扮演稽核角色，當然機關部署的源碼檢測與版 雖然規定要求於維運階段須注意版本管理，其 控機制，就是持續把關的最後一道防線。但應 實版本管理機制貫穿全生命周期，從軟體開發 將防禦戰線延伸至委外廠商軟體開發流程中， 28 | 叡揚e論壇 第81期 | January 201 6 Column