五倍的員工資訊安全守則

隨著網際網路攻擊威脅與日俱增，身為專業軟體開發團隊，使用兼具資安保護意識的方式來工作，是我們的義務。今日就特別分享五倍紅寶石軟體開發對內部以及對外（在專案開發上）的資訊安全規範。

對所有同仁的資訊安全規範

• 全部員工使用單一登入系統登入所有內部服務。

• 員工使用的服務，不論內外部，強制要求所有人開啟 TOTP 2FA，如代碼控管的 GitLab / GitHub。
• 對非工程師人員，使用密碼管理軟體集中管理密碼，並且使用亂數產生高強度密碼，強化安全性。公司內的區域網路網段（VLAN）區分為以下：
訪客用網路。
工作用網路：給公司同仁用於工作。
管理用網路：限管理員使用，在此可以登入重要的內部服務以及修改網路的設定。
• 遠端工作時要求員工透過虛擬私有網路（Virtual Private Network，VPN）服務登入公司區網工作。

開發時的資訊安全自我要求

• 對於所有的程式碼提交（Commit）執行程式碼漏洞掃描器（Vulnerability scanner），掃描程式碼與套件中的資安漏洞，包括但不限於 OWASP TOP 10。
• 對於程式碼提交，執行程式套件安全漏洞掃描器，提醒開發團隊升級有安全問題的程式套件。
• 每次建置容器（Container）時，使用容器的映像（image）安全掃描器，掃描容器中是否有潛在的資安問題檔案或設定等。
• 對於以上的掃描器，定期更新掃描器與資料庫。
• 對於 Web Service，基於零信任原則，不在客戶端執行任何商業邏輯，避免被惡意使用者篡改的危險。
• 對所有程式碼提交執行程式語法（Code Style）檢查器，排除不安全的程式撰寫方式。

除此之外，我們也會幫客戶規劃安全連線的方式，以及在設計系統時便加入機密資料保護措施。

資訊安全是未來每家企業都必須深刻檢討並認真投資的領域，其中專業非常複雜且深刻，如果客戶還想擁有更高規格的防護，我們也會轉介專門抵擋攻擊或做滲透測試的紅藍隊合作夥伴給客戶，以期客戶專案能擁有刀槍不入的金鐘罩。

為軟體開發服務提供者，我們的責任是從開發角度不斷升級自我檢查的水準，這也將是我們現在與未來對客戶不變的承諾。