駭客入侵是永無防範？如何確保才是王道

文 / 金洪基

【示意圖取自韓國蘋果日報】

從開發軟件的編碼階段開始， 各個階段都採用完善的保安技術。
防止開發者失誤或錯誤，保安相關機構 繼C、Java之後，最近提出了Python保安指南

最近, 惡用Log4j漏洞等各種軟件安全漏洞的網絡攻擊日益嚴重, 因此, 為了防範有必要採取多種對策。但, 只有加強入侵切斷系統等保安裝備, 不可能完全防禦對應用程序弱點的攻擊。如果重新修改軟件設計, 其費用是首次的數十倍。因此, 最近強調從編碼階段開始, 以最小化或從根本上消除安全漏洞為目標的 安全編碼(Secure Coding) 。

這也是一種軟件開發保安。專門開發AI安全技術的九老數碼園區C公司代表賦予意義說: 這是為了最大限度地減少軟件開發過程中因開發者的失誤、邏輯錯誤等可能發生的安全漏洞, 開發能夠應對網絡攻擊的安全軟件而進行的安全活動。 即, 通過執行軟件開發各個階段所需的保安活動, 可以製作安全軟件。

科學技術部和韓國互聯網振興院等保安相關機構最近提出了為安全編碼的各語言指南。繼此前提出有關C、Java、JavaScript等的安全編碼指南後, 最近又公佈了最近市場上常用的Python相關指南, 引起了關注。

政府和相關機構從2009年電子政府服務開發階段開始 研究診斷並消除軟件安全漏洞的軟件。另外, 在研究安全編碼的同時, 到2012年為止, 以電子政府支援事業為對象, 研發出診斷軟件安全弱點的技術。互聯網振興院回顧說: 2012年修訂行政安全部 信息系統建構運營方針並公告，藉此，制定了安全編碼的法律依據。 這就是2019年國會提議、2020年擴大實行的軟件振興法修正案。

振興院表示: 為了應對技術環境快速變化, 民間領域多元程式語言保安指南的必要性更加重要。因此, 行政安全部主導，開發《軟件開發保安指南及程式設計各語言的安全編碼指南》並公佈。 它對公共領域使用的JAVA、C Web、Cloud、Back-End Embedded等 提供安全編碼方案。

尤其是, 隨著編碼語言多元化, 民間企業或機構對其他語言的安全編碼指南需求日益增加。最近 針對民間最常用的語言進行了調查, 制訂Python的安全編碼指南。

最近發表的《Secure Coding Guide》的對象Python也是一種高級程式語言，可在多種平台上使用, 並因擁有豐富的標準函式庫而大學等教育機構、研究、產業界被廣泛使用。特別是, 不僅網絡設計, 還成為機器學習業界喜愛的語言, 超過C或Java, 喜愛度高居第一。

網絡振興院最近出版的《Python Guide》对于軟件開發階段需要考慮的安全威脅，說明需要驗證的安全弱點。另外, 還提供安全編碼相關例題，有利於開發安全的軟件。

2022國際保安展 參與的雲端保安企業 相關人士表示: 隨著駭客攻擊焦點移到應用程序的漏洞, 軟件資源保安變得更加重要。最近發生的網絡攻擊約75%是惡劣利用軟件安全漏洞 。他還強調: 特別是對外公開, 以不特定多數為對象處理用戶信息的網絡應用軟件的漏洞, 導致重要信息洩露事故頻繁發生。

另一方面, 美國已認識到軟件開發保安重要性, 正在以國土安全部為主導, 積極研究包括安全編碼的 軟件開發全過程設計驗證 保安方案。