隨著2021年底核彈級的Log4j資安漏洞現身,程式語言的資安議題也逐漸成為國內外企業不得輕忽的新興議題。軟體開發人員每日頻繁接觸各式各樣的開源軟體,對許多企業而言,早已習以為常,然而,正因程式碼肩負著日常作業的大量需求,使開源軟體正式成為資安漏洞的隱形溫床。
客戶背景與需求
J金融機構長期作為支撐金融市場流通的關鍵營運角色,面對整體環境的數位轉型,J金融機構秉持服務企業與廣大民眾的全面性思量,幾年前積極從核心業務開始推動數位轉型,以數據驅動,帶動各項業務邁向數位化進程,透過提升各式數位金融服務的品質,實踐普惠金融的目標。
J金融機構現階段已將核心系統全數轉換升級,同時也善用Open API與其他金融機構相互串接,賦能大量數據,從B端到C端,都能即時查閱到最新的交易數據,此資訊共享機制也讓整體流程走向更加系統化、透明化的運作模式。在完善IT面的基礎功夫後,現階段J金融機構也將「資安」納為另一項發展主軸,希望可藉由開源軟體管理工具的導入,第一時間防堵資安漏洞,亦同步穩定多項系統開發的運行,使各式金融服務在24小時不斷線的監控下,能有效守護關鍵的金融數據。
解決方案
精誠資訊與J金融機構擁有長期合作的良好默契,在經過專業顧問評估後,決定導入Sonatype Nexus開源函式庫存取暨授權與安全管理。Sonatype Nexus能協助J金融機構建立內部開源軟體的專屬儲存庫,搭配Repository Health Check (RHC)核心功能,每日自動分析儲存庫中組件的健康狀況和質量,讓軟體開發團隊可於各階段進行評估與確認是否有異常狀況發生,同時也能在開發前期做出正確的組件決策。此外,Sonatype Nexus也易於與其他現有開發工具整合,並在每個階段的開發週期自動提供組件情資與相關政策更新資訊,諸如:合乎企業安全與授權管理規範的開源元件與容器映像檔等,讓軟體開發人員能透過一站式平台,深入管理歷年來的開源軟體組件,使資安漏洞無所遁形,駭客無機可乘!
創造價值
網路駭客的攻擊模式已正式來到鼎盛時期,疫情之下致使網路相關產業蓬勃興盛,伴隨而來的是解不完的資安議題,精誠資訊深曉資安對企業的重要性,除自主研發資安產品,也持續引進國內外最新資安管理工具,以全面支援企業突破資安重圍。