CISO 資安學院 高科技資安論壇
鑑於企業面臨資安人員不足、傳統檢測機制過於複雜等挑戰,HCL AppScan 可提供三位一體的檢測機制,搭配強大的自動化機制 ,助企業能更早、更高效、更精確地識別和修復應用程式安全漏洞。
文/林裕洋
隨著全球資料外洩事件持續延燒,引爆資安等於國安的浪潮,也促使各國政府紛紛加大監管力道,要求企業必須遵循一系列日益嚴格的法規和標準,如 ISO 27001:2022、上市上櫃公司資通安全管控指引、共契套裝軟體標資安要求規範等。在企業積極推動數位化下,大幅增加開發人員、維運人員時,卻難以同步招募到足夠的資安人員,導致比例約為 100:10:1,難以應對日益增加的工作量。而 HCL AppScan 可提供三位一體的檢測機制,協助開發團隊將原始碼檢測、 第三方套件檢測等融入開發早期階段,助企業能更早、更高效、更精確地識別和修復應用程式安全漏洞。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
HCL Software 業務副總經理許瑞哲說,傳統資安防護概念是針對不同系統使用相對應的掃描工具,如 ERP、會議借用系統等使用原始碼檢測,官方網站、客戶入口網站等則使用網頁弱點掃描 。只是此種模式也形成孤島式的檢測方法,加上資安人力不足的問題,也成為企業在維護應用安全方面的巨大壓力。HCL AppScan 可提供三位一體的檢測功能,且具備強大的自動化機制,可提升應用程式的安全性,同時優化資安團隊的資源分配。
與開發流程深度結合 提升應用程式安全
在專案規劃、撰寫程式碼階段即融入資安思維已成為主流,而 HCL AppScan 在開發人員編寫程式碼時,即可主動進行分析,並提供撰寫安全程式碼的建議。如預先掃描機制在應用程式進行編譯之前,HCL AppScan 會運用原始碼檢測等方法,深入分析程式碼、第三方組件,提早發現潛在的漏洞,自然可提高品質和發佈速度。 若專案在編碼階段的安全測試未能通過,該系統也會即時反饋,協助開發人員立即進行重新修正,避免問題蔓延到後續階段。
許瑞哲表示,鑑於多數企業都面臨資安人力不足的挑戰,HCL AppScan 內建功能強大的自動化機制,讓資安人員從繁瑣的手動掃描中解脫出來,專注於政策法規分析與整體資安策略的制定,同時減少人為干預帶來的瑕疵和漏洞。如當開發人員將程式碼簽入到版本控制系統時,HCL AppScan 會自動觸發原始碼檢測掃描,且當掃描完成後會自動生成報告,提供給資安人員和稽核人員,作為後續修改的參考。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
