實踐 SSDLC,打造安全可靠的軟體─資策會 FIND科技報─智邦公益電子報
enews.url.com.tw · November 21,2024實踐 SSDLC,打造安全可靠的軟體
FIND研究員:陸浩銘
軟體安全是軟體開發的重要目標之一。安全軟體開發生命週期(SSDLC)是一種將安全性的考量融入軟體開發生命週期的每個階段的方法。SSDLC 可以幫助組織從一開始就構建安全的軟體,並在整個開發過程中不斷地進行安全測試和驗證作法。
資安事件發生時,工程師再投身救火也只能做到減少災害蔓延。軟體安全應該學習預防醫學的精神,從預防做起,安全責任需要落實到從使用者的需求開始。對開發團隊而言,可以參考數位發展部頒布的「資通安全責任等級分級辦法」中找到參考的基準,以提高軟體安全性。
SSDLC 的基本要求包括以下幾點:
建立安全意識:所有參與軟體開發的人員都應具備安全意識,了解常見的安全威脅和漏洞。
制定安全政策和程序:制定明確的安全政策和程序,以指導軟體開發過程。
進行安全測試:在軟體開發的不同階段進行安全測試,以識別和修復安全漏洞。
部署安全控制措施:部署合適的安全控制措施,以保護軟體免受攻擊。
小團隊如何實踐 SSDLC
在沒有專門的安全團隊的情況下,小企業可以採取以下措施來實踐 SSDLC:
委託外部安全專家:聘請外部安全專家來幫助制定安全政策和程序、進行安全測試和部署安全控制措施。
使用安全工具和技術:使用各種免費或低成本的安全工具和技術來幫助識別和修復安全漏洞。
利用員工的專業知識:鼓勵員工學習安全知識,並在工作中應用安全最佳實踐。
定期收集安全情資與發佈:定期收集安全情資並發佈至組織內使用,以提高員工的安全意識和技能。
對於小團隊而言,以下是一些符合 SSDLC 規範的最小要求:
制定安全政策和程序,其中包括:
- 密碼管理政策
- 訪問控制政策
- 安全開發標準
- 安全測試和漏洞修復流程
對所有員工進行安全意識教育和培訓。
在軟體開發的每個階段進行基本的安全測試,包括:
- 程式碼審查
- 漏洞掃描
- 滲透測試
部署基本的安全性控制措施,包括:
- 防火牆
- 入侵檢測系統
- 資料加密或遮罩
SSDLC 是組織構建和部署安全軟體的重要方法。開發團隊可以採取一些措施來實踐 SSDLC,以提高軟體安全性。
封面圖片來源: freepik繪製
參考資料來源:
1.https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
2.https://sdwh.dev/posts/2020/10/CyberSecurity-SSDLC/
3.https://www.pintech.com.tw/blog_list/213/ssdlc-checklist-selection-guide
4.https://www.gss.com.tw/eis/156-eis81/1500-eis81-10#chapter308
台灣木工機械異業結盟產線創造新商機
FIND研究員:廖柏仰
Glulam,即為集成材或膠合木,是永續性的天然材質。其可以存碳以減緩全球溫室效應和改善生活環境,以及勝過鋼鐵的結構強度和高耐久性等多種特性,與CLT(交錯層壓木材)一起,近年在各國廣受歡迎,陸續興建「自然系」的高樓層木建築。台灣木工機械發展已久,實木製造設備技術成熟,搭上這波潮流。
百年企業Hyne Timber
Hyne Timber創立自1882年,為澳洲知名木材工廠,生產集成材已有40餘年的歷史。距今約10年前,原訂集成材新廠興建計劃因為2008年金融海嘯影響,讓計劃一延再延。而大型採購案的思維邏輯跟一般銷售不同,買主優先考量的是供應商最大產能、市場營銷能力、信譽,再來則是機械設備能否滿足所需規格,如連線能力、機械生產效率,最後才是價格。
圖1:木建材榫接自動加工
圖片來源:本文作者拍攝
台灣中小企業異業結合面對挑戰
即便台灣木工機械已具備實木自動化設備技術,但是Hyne Timber專案的規格要求是前所未有的。要完成這條產線,首先要面對的挑戰是眾多設備的連線和自動輸送。
新一代的經營者往往不是技術背景,他們看的是投資報酬率;例如設備的產能、設備的體積與空間使用率所影響的租賃成本、設備價格等。因此,根據討論出的原型,團隊製作詳細的圖面解說和3D動畫,讓買方充份瞭解加工過程,以及整體產能和空間規劃可以達到他們的要求。工廠規劃不再是平面的利用,而是立體的。設備供應商需要連上下的空間一起考量進來。
在Hyne Timber集成材生產線,團隊透過挖地溝的方式架設帶鋸機用的輸送軌道,該輸送設備會依據加工單的要求決定如何切換軌道;木料隔條回收輸送設備也放置在坑洞內。可以看到生產線以有效的運用有限空間作最有效率的安排,且整體設計也要符合澳洲的安全規範。
大型自動化實木生產線需要進行檢驗連線測試,因此Hyne Timber也運來兩個貨櫃的測試用木材。從組裝、測試、驗機,總共花費三個月的時間。這中間與客戶溝通往來,經歷無數的調整,例如單動、確定進出料順利、水平校正、通訊協定的交握、電控、程式…等多種項目。到驗機完成,再將所有元件拆除,以平板櫃的方式,將設備運往澳洲,再分階段派人員至當地再次進行組裝。
應用效益與成果
過去Hyne Timber的集成材生產線需要36個人,8小時產能約22立方米;臺灣團隊的自動化生產線,人數需求僅6人,每8小時的產能提高至30立方米,其木材加工設備與流程如下. 木工機械產業在市場競爭與人才技術需求的情況下,產業必須朝以智慧機器的方向發展邁進,因此,自動化技術扮演著重要關鍵力量。在木工機械產業上的自動化上需藉由機械、電子與電腦化的系統,來聯繫機台、控制操作及製造生產的科技,以達到自動化機械控制、製程控制、倉儲系統、品管檢測、數據收集與電腦製程控制等。膠合木生產自動化技術,整合生產線各個子系統,原木料經由輸入系統,自動掃描木料、裁切系統、指接佈膠系統,再由二階段施工,經鉋木系統、佈膠拼板系統、四面鉋加工系統、成品裁切與包裝系統,整廠生產線即完整輸出膠合木構,並能實現自動化生產技術運用於整廠設備。
在生產設計上,從木材進料到生產成膠合木構,機械手臂自動取料,裁切機自動裁切木料至合適長度,依其功用分類處理,高速四面鉋自動鉋平木料表面,以利膠合木之黏合,客製化膠合木尺寸,適合市場需要長度,各機台經由通訊介面與中央控制系統連接,中央系統與設備資料均能自動傳輸,各工單木料尺寸資料,由於整廠生產線完全自動化,足以提升各機台之稼動率,降低生產單位成本,提高生產產值,並保持產品品質優越性。
FIND觀點:整合以提出解決方案
早在20年前歐美國家人力成本已高,紛紛開始推行產線的「整合」,自動化漸漸取代傳統生產線,證明該市場是存在的,但這對當時僅銷售單機的台灣木工機械廠商仍是非常陌生的概念。隨著時間推演,開發中國家的工資水準逐步上升,整合的觀念開始影響到世界各地,且業者發現,協助買主規劃量身訂作的自動化生產線,其利潤比單機銷售還高, 但相對付出的代價及風險也高。業者推銷單機,先比價格,再比製造國家;如果今天賣的是解決方案、自動化、大數據,討論的則是節省多少人力、材料、生產管理成本及時間。
封面圖片來源: 本文作者拍攝
參考資料來源:自行訪談業者蒐集資料
數位印刷改變歐洲超耐磨木地板產業
FIND研究員:廖柏仰 自從超耐磨地板技術在1977年被瑞典公司開發出來之後,歐洲專家們持續提供創新的關鍵原動力。他們已經得到超過40年的大量經驗,引領他們找到持續創新產品的道路。在許多場合中,創新的印刷科技已驅動超耐磨木地板的主要優勢。 >
迎接全球綠色轉型浪潮:日本GX聯盟的前瞻與挑戰
FIND研究員:鄭勻筑 當前全世界面臨著日益嚴峻的氣候變遷、環境污染、資源枯竭等問題,促使全球步入關鍵的轉型時刻。在這樣的大環境下,近年於國際社會頻繁被提及的綠色轉型(green transformation,以下稱GX)成為推進永續發展的可能解方,這不僅僅是一種產業的變革,更是一種價值觀與生活方式的轉變。 >