幫助開發人員撰寫安全程式碼,傳統開課難以滿足廣泛需求,叡揚引進培訓雲端服務以補足服務缺口

今年8月底叡揚資訊舉辦安全程式競賽活動,借助Secure Code Warrior平臺讓參賽者進行挑戰

推動開發人員重視安全程式設計,最近我們看到新的做法,是透過舉辦競賽,讓更多國內開發人員與學生,能夠接觸與認知安全程式開發。在,而在這場競賽中,使用的是他們今年初代理的Secure Code Warrior平臺,這是一家澳洲公司所打造的雲端培訓平臺。

引發我們關注的是,國內有辦法打造這樣的培訓平臺產品嗎?過去在安全程式開發培訓上,是否存在挑戰?

對此,叡揚資安事業處經理李佳凌表示,過去多年來,叡揚本身都有開設安全程式開發課程,主要以真人教學方式進行,也有Lab教學的形式,在程式語言方面主要以JAVA、.NET為主。

然而,以他們的經驗而言,不僅是程式漏洞的內容教材需要一直增加,更大問題是,面對客戶提出開設不同程式語言課程的需求,像是PHP、行動開發等,他們沒有這麼大的資源與能量,去回應這些需求。

而若要開發這樣的產品,除非一開始就要有非常廣泛的投入,並進行有系統性的整理,同時也要將內容語系做到全球化,就更不容易。

換言之,叡揚引進這樣的安全程式開發培訓平臺,其實也是為了強化自身服務的能量,不再只有仰賴真人教學與Lab形式課程,也能擺脫受限於只有特定程式語言開課、師資可能缺乏,以及蒐集題庫、製作教材、成效追蹤等問題與挑戰,藉由國際上已經發展成形兼具自助式與互動的雲端資源,可以做到更廣泛的推動。

另一方面,根據叡揚說明,這款產品銷售對象是以企業為主,並沒有開放個人訂閱。但很難得的是,他們除了傳統的開放大家試用之外,也想到用辦比賽的方式來推廣,學生也能試用21天並參賽。

重視支援程式語言與題庫豐富性,原廠也積極提供正體中文支援

關於叡揚為何會挑選Secure Code Warrior這款產品?該公司資安事業處資安開發二部經理陳宇馳表示,他們之所以選擇這家業者,看中的是平臺支援程式語言已經廣泛,且題庫豐富。

例如,已經支援C#、GO、Java、Perl、PHP、Python、Ruby Rails、Rust,以及JavaScript Node.js(Express)等多種網頁程式語言,甚至也涵蓋行動開發、前端、API、IaC與系統面的程式語言。

而且,這些題庫都是使用真實的程式碼,不是模擬簡化的範例,原廠並提供了正體中文的介面,甚至影片的字幕也支援正體中文,不過,像是提示等內容的部分,目前尚未完成中文化。

另一特色是,除了培訓平臺本身提供的課程與內容,也能適合邊做邊學的開發人員,因為,Secure Code Warrior平臺能與Jenkins、Azure DevOps Services、Git版控整合,結合第三方掃描工具如Snyk、Checkmarx、Fortify On Demand、Synopsis和Veracode等,讓開發人員在熟悉的開發環境中,當掃描出現弱點時,可以適時在開發環境的介面上,依據CWE編號,提供Secure Code Warrior教材的連結,幫助學習。

新趨勢!將資安培訓內容
打造成互動高、學習彈性的商用軟體與服務

安全程式開發的需求一直都在,除了開發人員定期審查,有些企業還會進行白箱測試的源碼檢測,或是黑箱測試的動態安全測試,甚至滲透測試,以找出潛藏弱點,亦有開發平臺也內建了自動化的程式碼審查機制(Code Review), 幫助軟體開發期間及早發現臭蟲與安全性弱點。

但要減少重複修改漏洞問題、提升開發效率,若能在更前面的階段,也就是讓開發人員從一開始就寫出安全的程式碼,更是理想。

目前市面上,我們看到這類安全程式開發培訓平臺其實不多,但已出現幾家廠商,除了上述Secure Code Warrior,我們也看到國際間還出現了Avatao、Immersive Labs、Security Journey Platform等。

回顧這些年的發展趨勢,資安相關的培訓內容,國際間不僅發展商用軟體系統,且趨向雲端服務平臺發展的態勢明顯。

過去我們知道,國內有許多大型企業設有內部的線上學習平臺,像是銀行業可能有內稽內控課程與測驗,甚至不同專業課程,也有資訊安全宣導課程與測驗等,國內也有一些資安服務業者,可以提供郵件社交工程、資安意識相關教材與資源,或是提供開課培訓的服務。

,這類型稱之為Security Awareness Computer-Based Training,包括:KnowBe4、Wombat Security(已被Proofpoint併購)、PhishMe(已被Cofense併購)等廠商的出現,還有像是卡巴斯基防毒廠商也切入提供這樣的產品。

而在安全程式開發領域,同樣其實也發展出產品,以雲端服務模式銷售,對於企業開發人員而言,也將成為學習上的另一種管道與形態。

綜觀此一發展,較可惜的是,雖然國內一直都有業者開設安全程式開發、安全軟體開發的課程,但沒有進一步發展成自助式商用產品與服務,並拓展到全球,或許國內可以思考朝此方向邁進。

https://www.ithome.com.tw/news/153306

您可能也會喜歡…