程式設計師在技能養成的過程中，就不曾接觸過相關議題，據了解，直至今日的大專院校仍少見「安全的程式開發」相關課程。

再加上專案時程緊湊，能夠準時、無誤又符合需求地交付上線，就是很不容易的事情，因此「安全」更是無暇顧及的事情。現在資訊主管要求開發者寫「安全的程式碼」，幾乎是緣木求魚。


弱點在開發早期解決，成本最低
該怎麼處理這樣的問題？許多對資安敏感性較高的產業，早已選擇滲透測試，請資安專家以駭客的手法檢驗網站的安全性。然而滲透測試費用不低，無法頻繁地執行，一般而言，是一年1至2次，所以無法時時把關安全性。

因此，市面上也出現了「靜態程式碼安全性檢測」及「動態程式碼安全性檢測」工具，希望幫助企業在資安意識不足的情況下，透過工具的自動化掃描，抓出安全性漏洞，並提供弱點解說與修正建議，進而學會處理的方式。

動態程式碼檢測工具及滲透測試都是在模擬駭客的手法，嘗試找到網站的弱點，並提供相關報告。這種作法比靜態程式碼安全性檢測全面，因為可以抓出作業系統、應用伺服器的漏洞，及設定面問題。

不過，靜態程式碼安全性掃描工具的強項在於，能地毯式地掃描程式碼、抓出不安全的寫法，並提供修正建議，是從根源就做好防護的安全性作法。

畢竟軟體上線後才發現問題，再去解決的成本是開發階段的100倍。

看更多雜誌 »