工具結合流程和人配合才能成功
此類工具的售價並不便宜，然而要能成功套用在企業的開發流程，並不是買來裝上去就可以簡單上手。導入這樣的系統，選擇適合的產品固然重要，但是人員與流程的配合才是成功的關鍵。

叡揚資訊軟體安全顧問及工程部經理范家禎表示：「工具要成功，必須搭配人員、流程與技術的整合。」，以該公司代理的Fortify為例，導入的作法，除了安裝、建置，還包括教育訓練。而教育訓練不光是操作的教學，還包含什麼是「安全的程式開發」、何謂「OWASP Top 10」等。

然後顧問必須協助客戶制訂標準和稽核的流程，因為如果在導入的初期沒有跟開發人員溝通規則，很容易引發反彈。最後，以實際的專案試行，再視情況調整。


修復建議未必適用，此時需靠顧問提供最佳方案
企業導入靜態程式碼安全性檢測解決方案，還要有一個認知：工具提供的修正建議，未必派得上用場。

事實上，知道問題出在哪一行，和真正修復弱點，兩者之間可能有一段距離。阿碼科技產品經理吳明蔚以Twitter蠕蟲為例，總共出現了六代，這些駭客用的是OWASP排名第一的CSS，而針對這個普遍的弱點，各家工具都有修復問題的標準答案。

看更多雜誌 »