【必知】源碼檢測是什麼：上市上櫃企業必知的3大法規與稽核標準

隨著駭客攻擊越來越嚴重，企業對於個資的保護也開始被法令所要求。源碼掃描、源碼檢測，也早已超過百家的企業導入，不僅原先資通法或是金管會有要求外，現今上市上櫃公司也都得面臨規範的要求。究竟源碼檢測是什麼？常見的源碼檢測費用又為多少呢？以下文章將會介紹相關資訊，希望對大家有所幫助，若有相關疑問，也歡迎聯絡叡揚資訊的龍經理！

源碼檢測是什麼？

源碼檢測是一種非常基本的網頁程式稽核方式！透過資安公司對原始碼的檢查，能夠挖掘已知或未知的網頁問題。

源碼檢測常見的作法為何？

常見的作法是利用人力檢測，如果是寫程式能力有自信的開發團體，是由公司自有的資深工程師負責，對品質要求較為嚴格的單位，則會雇用資安專家協助進行。

為什麼要做源碼檢測？

企業會做源碼檢測，常見有三個原因：法規、甲方要求、專案品質提升！

做源碼檢測符合法規要求

金管會《保險法》《銀行法》 

金融監督管理委員會已將「原始碼檢測」列為法規之一，其中金管會的保險法、銀行法都會要求企業要做到完整的源碼檢測，來保障使用者的資料安全。

公家機關《資通安全管理法》

依據「資通系統防護基準」之「系統與服務獲得」構面項目，等級「中」以上的資通系統要求如下：

1. 資通系統開發如委外辦理，應將系統發展生命週期各階段依等級將安全需求（含機密性、可用性、完整性）納入委外契約。
2. 執行「源碼掃描」、「滲透測試」及「弱點掃描」安全檢測。

上市上櫃公司資通安全管控指引

在第五章【資通系統發展及維護安全】中的第十六條，有提到上市上櫃公司，需要對核心資通系統辦理下列資安檢測作業，並完成系統弱點修補。

1. 定期辦理弱點掃描。
2. 定期辦理滲透測試。
3. 系統上線前執行源碼掃描安全檢測。

不符合法規被懲罰的案例介紹

舉例來說，在 2019 年時，國泰世紀產物保險股份有限公司辦理資訊作業，就因為公司訂定源碼檢測作業細則規範的內容不周延，另有對外服務應用系統未全面清查或檢測使用者帳號、權限等缺失，皆不利作業遵循與網路系統安全之維護，導致被金管會給糾正。

做源碼檢測符合甲方要求、稽核標準

現在很多企業的資料、甚至會員個資都放在雲端伺服器中。而在此過程中，有許多個人、企業資訊會因此傳輸到網路上，若被駭客或有心人士攻擊，便可能面臨機密資料外洩、系統停擺、財物損失、商譽動搖的風險。

而其中主要分為兩塊：ISO 27001、OWASP。

ISO 27001 

作為風險管理的一環，無論是政府機關、企業都有越來越多組織實施資訊安全管理系統(ISMS)，甚至在不少政府部門、電子商務公司，資訊安全已成為強制性的要求。

OWASP

台灣企業有網站大多會採用OWASP Top 10的規則檢測，看自己的網站有沒有十大網站安全風險弱點

什麼是 OWASP呢？

OWASP，全名為The Open Web Application Security Project（開放式Web應用程式安全專案），是一個致力於提高網站應用安全的社群組織，其底下有非常多的專案項目。

當中的OWASP Top 10是其中一項知名的項目，其核心內容為提出十大網站安全風險弱點，致力於協助企業單位深入瞭解並改善網站上的安全性，因此許多政府單位、企業公司都會關注，甚至視為指標。

做源碼檢測能提升專案品質

因為很多團隊其實並不清楚該做到何種安全層級，才會符合法規。所以確保自行開發、或是委外開發的系統無資安漏洞、降低弱點修復成本，就會是做源碼檢測很重要的一環！像是以下圖來說，透過源碼檢測的服務，可以加速弱點修復工作，進而讓整個資訊架構更為安全！

不做源碼檢測可能的風險有哪些？

不做原始碼偵測，可能會遭遇到以下的風險：

1. 程式碼安全：找到軟體中自行開發的程式碼與Open Source 的關鍵漏洞了嗎？
2. 漏洞修復：能即時排定安全問題的優先順序並解決嗎？
3. 開發人員培訓：開發人員是否經過 有效的安全開發訓練? 有針對弱點持續加強嗎？
4. 流程自動化：掃描機制能否涵蓋系統開發周期的所有階段 ，而且可以自動化？

誰會需要源碼檢測？

根據金管會金管會的公開發行公司建立內部控制制度處理準則，公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。

並且需要安排資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。

所以常見的金融機構、科技產業、製造業、甚至是醫院，其實都會需要這樣源碼檢測的服務！

Checkmarx 原碼檢測工具好處

1. 整合至現有軟體開發流程：支援常用版本控管工具、建置管理工具、 問題追蹤工具以及 IDE 整合開發環境
2. 無需編譯、開發初期即可檢測：可檢測未經編譯的原始碼，即在開發周期的初期發現漏洞
3. 源碼未變動則無須重複掃描：獨一無二的差異掃描，無需重複掃描整個專案，節省掃描時間
4. 簡易操作、方便控管：中文介面為能提供最佳的用戶體驗，且簡單呈現攻擊流向及資料從輸入到執行的流程
5. 加速弱點修復工作：提供最佳修復點，提升弱點修復效率
6. 客製化掃描規則：能調整或客制檢測規則，進一步檢測掃描優化結果
7. 支援業界標準：提供多個國際標準檢測規範
8. 涵蓋主流程式語言：支援超過20種程式語言、腳本語言及通用框架

原始碼檢測費用為多少？

一般企業導入這樣的系統，費用從基本規格的 150 萬到 1000 萬以上都有。

而如果要做單一次的檢測，常見的費用則為 10 萬元上下。

原始碼檢測廠商推薦：叡揚資訊龍經理

全台知名企業、金融組織都選擇叡揚資訊協助他們提升應用系統資訊安全強度，他們是唯一累積15年專業經驗，提供「安全程式碼撰寫訓練」及「原始碼檢測體驗營」的專業廠商，並實際導入100+ 政府單位、金融業、電信業、軟體業等大型客戶。如果需要，歡迎聯絡龍經理：

叡揚資訊龍經理聯絡方式

• 電 話:(02)2586-7890 分機:10262
• 手 機:0955-668848
• 電子郵件:[email protected]

延伸閱讀

• 資安問題處理怎麼辦：常見6種駭客攻擊與處理方式
• B2B國外業務開發怎麼做？開發國外客人的8種實際案例與方法
• 5大雲端人資系統完整試用評價！企業數位轉型不能錯過的機會（含圖文）！
• 知識萃取神器：個人品牌與專業講師不能錯過的開課工具！
• B2B業務銷售完整攻略：業務新手到老鳥的銷售流程與銷售方法！