協助辦理SSDLC工作坊，助力企業提升軟體資訊安全防護能力

為協助我國5G及物聯網相關軟體資訊安全提升防護能力，台北市電腦商業同業公會於10月5日協助執行軟體安全開發生命週期SSDLC工作坊，以幫助企業於軟體開發生命週期中導入資安思維，讓軟體資安導入由傳統測試階段，提早至軟體開發、設計或需求階段，以讓安全性問題能夠儘早被發現及修正，降低漏洞修復所需花費的時間及成本，且推廣「自助式軟體安全程式檢測服務」及「自助式深度弱點網頁掃描服務」等項目，提供資安檢測軟體協助企業於軟體開生命週期中能於早期發現資安漏洞並修正，且幫助業者利用預錄腳本有效找出網站弱點風險，進而提升軟體安全，逐步厚植國內資安防護能力。

此次工作坊，分享「建構軟體安全開發流程與自助式軟體資安檢測服務」，實際展示SSDLC安全軟體開發流程的服務機制，從軟體設計初期，規劃符合國際認證標準的資安指引項目；在軟體開發階段，提供持續整合和持續交付(CI/CD)的開發流程，並整合靜態原始碼檢測和軟體組成分析之檢測服務；在部署營運階段，提供深度弱點網頁掃描的檢測服務，藉由網頁腳本錄製器產生檢測腳本，以提升網頁掃描之覆蓋率，得到更完整的網站資安弱點檢測報告。

在軟體需求設計階段，工作坊以「安全軟體開發威脅模型建構演練」單元深度分享，在專案開發前期就應主動且持續地評估和管理威脅模型，藉由解析威脅模型的建模過程、方法、工具和技巧，來協助開發人員分析系統威脅的元素，並在企業數位化的環境中，透過威脅模型發覺各種不確定性和潛在資安風險，以協助企業開發人員學習並改進資安防護管理方式。

在軟體實作開發階段，工作坊以「DevSecOps開發流程基礎建構演練」進行深度分享，從安全軟體開發生命週期(SSDLC)相關程序開始，為大家解說軟體開發的過程中應包含安全的思維及應該如何實現；SSDLC的實行應先確認自身的安全需求及所需的安全設計；在開發過程中需建構SBOM以隨時追蹤軟體所使用的元件，並記錄其版本及相關漏洞；最後，利用GitHub Actions向學員示範了在建構DevSecOps軟體開發過程中設定自動化腳本及自動化程序，以達到既快速又安全的軟體建置方法。

在軟體更新營運階段，工作坊以「高效網頁測試腳本錄製深化網頁掃描及實機操作演練」單元進行分享，藉由「自動化資安測試」讓軟體的功能檢測與資安檢測結合，透過網頁腳本錄製器產生檢測腳本之檢測路徑，提升網頁掃描之覆蓋率，深度網頁掃描可得到網站更完整的弱點議題檢測報告，進而協助提升網站資安防護的能力。

最後，工作坊針對資安風險方面，邀請講師分享OWASP TOP 10資安漏洞，在全球高度連網的環境中，應用軟體資安變得至關重要，在軟體的設計階段需選擇適當的架構和設計模式，應包括：加密、身份驗證等，並應防止常見的安全漏洞，藉由定期審查代碼，使用自動化測試工具來發現和修復漏洞，以強化廠商資安防護能力。

軟體安全已經成為現今數位世界關切的核心。此次工作坊，希望藉由推廣「自助式軟體安全程式檢測服務」及「自助式深度弱點網頁掃描服務」等項目，協助國內業者把資安的元素納入產品軟體開發生命週期，並經過完善的檢測，降低資安風險與威脅，讓產品或服務具韌性且安全。