在現代軟體開發的快速迭代趨勢下,資安已不再是開發完成後才考慮的附加選項,而是必須深度整合於整個開發生命週期(SDLC)的關鍵要素。成立至今約13年的Lucent Sky,其核心產品Lucent Sky AVM(Application Vulnerability Mitigation)正可滿足此應用需求。透過專利的自動弱點修正技術Instant Fix,Lucent Sky AVM不僅提升了開發效率,更大幅降低安全技術門檻,讓開發團隊能在維持敏捷速度的同時,有效落實「安全左移」策略。
Lucent Sky技術長Jim Liu表示,Lucent Sky AVM的最大特色,在於不僅能夠偵測應用程式中的弱點,還能自動修補,並確保修正後程式功能不受影響。傳統弱點掃描工具無論黑箱或白箱測試,主要專注於發現安全問題,透過報告的形式呈現給安全團隊,再由安全團隊將這些資訊轉交開發人員處理。然而,此類工具往往設計給稽核或安全團隊使用,強調的是如何盡可能找出更多的弱點,而非有效地解決問題。因此,這些報告常充斥大量誤報(False Positive),或抽象而難以理解的資訊,導致開發人員無法快速有效地修正弱點,進而使安全問題累積並延誤處理。
「Lucent Sky AVM解決方案的發展理念正是為了改變這種局面,以修正導向為核心,不僅能找出應用程式中的安全弱點,更能透過Instant Fix技術自動產生修補程式碼,直接修正這些弱點。」Jim Liu說。以常見的SQL隱碼攻擊或跨站腳本(XSS)漏洞為例,Lucent Sky AVM除了指出具體弱點位置與成因外,更能提供清晰且可直接套用的修正建議,大幅降低開發者的處理難度與時間成本。 除此之外,Lucent Sky AVM還具備二進位碼(Binary)分析能力。許多企業開發專案中,經常需要使用第三方元件或委外開發的二進位碼,而這些元件往往缺乏原始碼可供檢查,潛藏許多未知的安全風險。透過二進位碼掃描與軟體組成分析(SCA)功能,Lucent Sky AVM能快速檢測第三方元件是否含有已知的漏洞(CVE編號)或未知的弱點,並進一步產生軟體物料清單(SBOM),協助企業掌握自身軟體供應鏈的安全態勢,避免潛在的供應鏈攻擊風險。
脈絡分析估算弱點風險等級
在應用程式弱點檢測與修補領域,Lucent Sky不僅依賴傳統的靜態程式碼掃描結果,同時強調脈絡分析的重要性,藉此掌握開發意圖與應用程式實際執行的脈絡,藉此更準確地評估每個弱點是否具有被攻擊的可能性,以及該弱點所帶來的實際風險。
Jim Liu說明,Lucent Sky的檢測流程,會對每一個偵測到的潛在弱點進行脈絡分析,藉此辨識該弱點是否屬於可被利用的類型。如果確認這個弱點在實務上具有可被攻擊的潛力,系統會依據風險高低與急迫性進行分類排序,協助開發團隊有效分配修補資源。而對於那些在語法上看似可疑,實際上卻不構成安全威脅的程式碼,則可能被標記為低風險,甚至不會主動提示開發者修正。
舉例來說,在台灣常見的應用情境中,若有一段程式碼直接將使用者輸入的身分證號帶入SQL查詢,傳統掃描工具會立即判定這是一個SQL Injection弱點。然而,Lucent Sky AVM系統會進一步分析開發者是否在輸入處理之前已進行驗證,例如確認輸入是否為合法格式的身分證號,甚至執行過白名單比對。若發現這樣的安全控管已經到位,即便程式表面上看來風險高,實際上卻沒有被攻擊的可能,這樣的弱點就不會被列為高優先級處理項目。這樣的設計大幅減少了誤報,避免開發者浪費時間修正那些其實不具風險的程式碼。
對於那些被判定為高風險且可被利用的弱點,Lucent Sky AVM提供的Instant Fix功能,可即時提供修補程式碼片段的能力,能夠用安全且經過驗證的程式碼,直接取代原本有問題的段落,達成快速且有效的弱點修復。這不僅加速了修補流程,也降低了開發者在手動修改時可能引入新錯誤的風險。
Instant Fix技術自動修復弱點
針對Lucent Sky特有的Instant Fix技術,Jim Liu進一步說明,此功能的修正程式碼產生並非使用目前熱門的生成式AI(Gen AI),而是透過高度可信賴的演算法與產業界認可的修補方式產生,每次產生的修補程式碼皆具有高度一致性與可控性,不會產生無法預測的結果或新的漏洞。相較於生成式AI可能導致不一致的修補方案,Lucent Sky提供的方案更加穩定且可信,並能充分整合至現有的CI/CD流程,全面實現DevSecOps的精神。
Lucent Sky技術長Jim Liu引述OWASP基金會提出的觀點,DevOps是將開發與維運串接成一個持續循環的流程,而DevSecOps則是在這個流程的每一個階段都納入資安機制,確保從頭到尾的安全性。(資料來源:OWASP)
DevSecOps的核心並非只是單純的「安全左移」,而是一種將安全措施融入整個軟體開發生命週期的新思維。DevOps著重於開發團隊與運營團隊之間的協作以加速軟體交付,而DevSecOps則進一步將安全措施在每個流程階段中實踐,確保軟體交付過程中的持續安全性。Jim Liu認為,Lucent Sky AVM的自動化弱點修復技術便是實踐DevSecOps的關鍵要素之一,使企業能夠以自動化方式,迅速且有效地修正弱點,實現政策的一致性和高效性。
更進一步,Lucent Sky AVM也支援主流開發環境和工具的整合,例如Visual Studio、Azure DevOps、Jenkins與Maven等,使其可以直接嵌入現有的CI/CD流程中,確保安全檢測與修正過程能自動且即時地運作,而不需要開發團隊進行額外的操作。這種整合能力大幅降低導入與使用門檻,使安全工作真正成為開發過程的一部分。