全球知名 IoT 设备商应用 HERCULES SecFlow与 HERCULES SecDevice 落实安全开发流程 (SSDLC)

分享：

客户概况

A 公司为全球知名的 IoT 设备商，已在网络产品消费市场深耕多年，并拥有广大知名度，旗下多项产品畅销全球，市场占有率遥遥领先，因此，在万物皆可“黑”的物联网时代里，其产品便成为不法分子锁定攻击的目标。

在物联网设备被频繁攻击的事件中，A 公司面临亟待解决的漏洞包括：由于设备固件许可认证处理不当而引发的恶意攻击；帐号密码采用弱加密储存方式，黑客可以登入设备；设备漏洞可能成为黑客攻击路径中的跳板，严重的话会导致消费者隐私泄漏。这些问题引起消费者及政府机构的密切关注。

A 公司认为导致这些安全性问题的原因，是可以通过在开发过程中落实 Security by Design 的概念来预防，因此 A 公司决定导入安全开发流程（SSDLC, Secure Software Development Life Cycle），以此减少该类问题的发生几率。

面临挑战

当 A 公司决定提早在开发流程中注入安全因素后，开发团队便开始思考过去在开发过程中可能导致产品不安全的因素，其中包含：

自家产品型号多，盘点产品型号时发现漏洞程序复杂且需花大量时间
开源软件（Open Source）多且分散，使用第三方套件漏洞难以掌握
漏洞信息掌握太慢，跟不上被网络安全专家揭露漏洞的速度
现有的管理工具无法满足安全开发流程 (SSDLC, Secure Software Development Life Cycle) 中的网络安全要求

盘点出上述要解决的问题后，A 公司便着手开始寻找能解决上述挑战的辅助工具，然而却发现市面上工具多且只能满足单一的开发管理、漏洞扫描、漏洞管理等需求，A 公司认为上述问题尚未解决前，若又再导入「多套」新工具，不但安全问题没有解决，反而增加了管理多项工具的工作。因此，在采用工具时，「便捷管理」便成了所要考虑的重点之一。几经评估后，A 公司决定采用可满足开发流程广度又兼具测试安全性深度的「SecFlow 产品网络安全管理系统」与「SecDevice 漏洞检测自动化工具」，以解决所面临的挑战。

导入方案

A 公司运用「SecFlow 产品网络安全管理系统」进行安全流程管理、产品安全漏洞管理、主动式产品安全事件监控与通报，协助组织连接开发、安全、维运团队，快速建立安全的软件开发流程（SSDLC）；同时运用「SecDevice 漏洞检测自动化工具」进行产品检测及安全性评估，导入两项方案后，应用重点如下：

产品管理团队自建专属漏洞数据库自动盘点 Open Source 漏洞

SecFlow 内建产品管理功能通过与存放最新漏洞的漏洞数据库比对，A 公司的产品 PM 可执行安全分析并自动筛选出外包的开发团队所使用的 Open Source 漏洞，此功能为 PM 团队省去大量漏洞比对工作，让团队在开发产品的过程中，直接避免使用已存在漏洞的 Open Source，提前防止产品信息安全类的问题发生。

安全团队通过实时的安全情报，提早拟定新揭露的漏洞对策

A 公司的安全团队成员过往都是被动式地搜集漏洞信息，且还使用人工方式通知产品负责人拟定漏洞因应措施，采用 SecFlow 后，A 公司每日都能从数据来源中截取近 70 个风险事件及漏洞信息，通过内建数据关联功能，可自动将被披露的新漏洞列入网络安全事件库，同时通知 PM、RD 及安全负责人进行处理。这一点大大提升了产品安全团队对事件的反应速度，SecFlow 能将原本的漏洞处理时间从 2-3 个月减少至 2 周。

测试团队将未知漏洞都纳入测试范围

产品在出厂前的品质测试与验证阶段中，A 公司的测试团队除了进行功能与规格的验证外，还采用 SecDevice 模糊测试功能来发掘产品隐藏的「缓冲区溢出」、「格式化字符串」与「命令注入」等未知漏洞问题，进一步验证产品扺御恶意攻击的稳健程度；针对供货商的交货环节，SecDevice 可同时作为产品安全性测试工具，在产品的测试与交付过程中，多增一道质量关，严格保障产品品质。