Dev Talks

五倍的員工資訊安全守則

5xRuby CEO Mufan Teng
鄧慕凡, 執行長 Apr 18, 2023

隨著網際網路攻擊威脅與日俱增,身為專業軟體開發團隊,使用兼具資安保護意識的方式來工作,是我們的義務。今日就特別分享五倍紅寶石軟體開發對內部以及對外(在專案開發上)的資訊安全規範。

對所有同仁的資訊安全規範

  • 全部員工使用單一登入系統登入所有內部服務。
      • 員工使用的服務,不論內外部,強制要求所有人開啟 TOTP 2FA,如代碼控管的 GitLab / GitHub。
      • 對非工程師人員,使用密碼管理軟體集中管理密碼,並且使用亂數產生高強度密碼,強化安全性。公司內的區域網路網段(VLAN)區分為以下:
        • 訪客用網路。
          工作用網路:給公司同仁用於工作。
          管理用網路:限管理員使用,在此可以登入重要的內部服務以及修改網路的設定。
      • 遠端工作時要求員工透過虛擬私有網路(Virtual Private Network,VPN)服務登入公司區網工作。

開發時的資訊安全自我要求

  • 對於所有的程式碼提交(Commit)執行程式碼漏洞掃描器(Vulnerability scanner),掃描程式碼與套件中的資安漏洞,包括但不限於 OWASP TOP 10。
  • 對於程式碼提交,執行程式套件安全漏洞掃描器,提醒開發團隊升級有安全問題的程式套件。
  • 每次建置容器(Container)時,使用容器的映像(image)安全掃描器,掃描容器中是否有潛在的資安問題檔案或設定等。
  • 對於以上的掃描器,定期更新掃描器與資料庫。
  • 對於 Web Service,基於零信任原則,不在客戶端執行任何商業邏輯,避免被惡意使用者篡改的危險。
  • 對所有程式碼提交執行程式語法(Code Style)檢查器,排除不安全的程式撰寫方式。

除此之外,我們也會幫客戶規劃安全連線的方式,以及在設計系統時便加入機密資料保護措施。

資訊安全是未來每家企業都必須深刻檢討並認真投資的領域,其中專業非常複雜且深刻,如果客戶還想擁有更高規格的防護,我們也會轉介專門抵擋攻擊或做滲透測試的紅藍隊合作夥伴給客戶,以期客戶專案能擁有刀槍不入的金鐘罩。

為軟體開發服務提供者,我們的責任是從開發角度不斷升級自我檢查的水準,這也將是我們現在與未來對客戶不變的承諾。


分享