应用系统安全与品质必备工具持续整合平台casip-togsscomtw.pdf

Security and Tools 應用系統安全與品質必備工具 持續整合平台 CASIP ( 原 CI Serv er ) CA S IP (Co nt inuo us A pplicat io n Sec urity Improv e me nt Platf o rm) 導入 C I Se rv e r ，藉其整合能力 ，用系統設定來取代客製化的程式碼撰寫 撰文 ｜叡揚資訊安全事業處 資深專業顧問 陳惠群 博士 我們曾經發現客戶前後兩次的Fort ify SCA 持續整合(Continuous Integration ；CI) 是軟 原始碼檢測報告 ，差異頗大 ；追查後發現 ， 體開發最佳實務之一 ：通常在軟體專案過 原來是第二次送檢的原始碼內容有錯誤或 程中 ，系統整合與測試都是留在後半段 ，萬一到 了這個階段才發現規格不符 ，修改成本必然十分 是遺漏 。倘若送檢的原始碼都是自動簽出、 驚人 。持續整合試圖解決這類問題 ，在專案初 並且通過建置測試 ，才進行原始碼檢測 ， 期 ，就開始進行介面整合與相關測試 ，並且持續 發生前述狀況的機率必然大幅降低 。 進行 。這種重覆不斷的程序 ，很明顯地需要搭配 應用系統上線前後 ，才發現品質或安全問 適當的工具 ，才能落實 。 題 ，將意味著必須投入極大量的人力與成 本來進行改善或修復 。因此在開發初期 ， CI 的初衷是確保程式間合作順利 ，最基本的驗 證方式自然是通過開發工具編譯(Compile) 與繫 就應當將品質與安全 ，納入規格當中 ；並 結(Link) 的靜態檢測 ，確認程式間介面呼叫及 且確認系統設計 、開發 、測試 、維運等階 參數型態符合規格 ；更進一步則可藉由撰寫測試 段 ，都符合品質與安全規格要求 。 程式 ，例如單元測試(Unit Tests) ，來確認執行 為使應用系統於開發階段 ，就開始檢查程 時期的合作狀況 。因此持續整合平台(Continuous Integration Server ，簡稱CI Server) 應具備下列 式品質與安全 ，許多團隊會先以人工方 四大特色 ： 式收集原始碼 ，再利用工具進行檢核 ( 如 Fort ify SCA ) 。但這代表著須有額外的人力 自動測試 投入 ，以及人為疏失的風險 。C I server 就 是將以上人工作業 ，變成自動化機制 ，將 自動建置 自動部署 開發人員每日開發的原始碼整合 ，利用 下班時間 ，自動與程式品質或安全檢 核工具串接 ，進行自動檢核 ，達到 自動簽出原始碼 節省人力及避免人為疏失的效果 。 32 | 叡揚e論壇 第69期 | NOV