Fortify系列產品的核心能力涵蓋靜態程式碼分析(SAST)與動態應用程式掃描(DAST)。SAST方面透過Static Code Analyzer工具,在開發階段即掃描原始碼,精準標示出潛藏的弱點,並提供修復建議。DAST產品為WebInspect,則是在應用程式運行階段,模擬攻擊手法進行弱點掃描。兩者所產出的資訊,皆統一彙整至Software Security Center(SSC),讓資安團隊可以集中檢閱、追蹤與回溯所有測試結果,實現安全治理。
OpenText資深技術顧問李柏厚指出,近年來全球企業面臨數位轉型壓力,軟體已成為推動業務成長與創新的核心引擎。然而,隨著開發流程日益複雜、交付節奏加快,以及資安威脅持續升溫,DevOps開發流程已不足以因應當前環境所需。面對軟體品質與開發速度之間的矛盾,企業需要一套能兼顧效率與資安的新架構,而AI驅動的DevSecOps有機會協助解決當前困局,成為新世代軟體交付模式的重要發展方向。
開發期間介入控管潛在風險
現有的DevOps流程中,安全測試往往在後期由品質保證(QA)負責,難以追溯與即時回饋,導致「補破網」現象頻繁發生。李柏厚說明,OpenText提出的DevSecOps策略,也就是以「安全左移」為原則,將安全檢測工作前置至開發階段,藉此避免漏洞落入正式環境。開發者在程式撰寫過程中,即可透過整合開發環境(IDE)中增添即時掃描機制,進行「邊寫邊掃」。此即時回饋機制會根據每一行語法所用函式、邏輯結構,自動判斷是否潛藏安全風險,並提供修正提示。
前述這種「邊寫邊掃」設計,並非傳統掃描完成一整段程式碼才分析的作法,而是針對每一行程式進行語法解析與風險判定。其獨特性在於結合客製化規則引擎,支援各種語言語法、內部開發準則與企業政策,並可離線執行,讓終端開發環境也能獨立完成安全檢測。這種即時回饋不僅提升了安全防護的即時性,也具備一定的教育功能,幫助開發人員累積資安意識與經驗。
除了原始碼安全性之外,近年軟體供應鏈風險也成為企業關注焦點。李柏厚觀察,開發者大量仰賴開源套件與第三方元件,卻常因元件老舊、授權爭議或已知漏洞而成為攻擊破口。對此,OpenText旗下擁有的Debricked技術,已納入Fortify on Demand平台中提供軟體組成分析(SCA)功能,可比對龐大漏洞資料庫,主動掃描所有使用的第三方元件是否存在安全漏洞或授權風險,同時產出軟體物料清單(SBOM)協助企業追蹤軟體組成元件。
較特別的是,Debricked技術與Sonatype建立OEM技術合作,結合Sonatype提供的Repository Firewall、Lifecycle等機制,形成完整的防護網。以Repository Firewall為例,當開發者從網路上抓取第三方元件時,可立即比對其安全性與授權條款,過濾高風險套件,避免其流入開發環境。而Lifecycle則在開發階段掃描原始碼中使用的元件,並針對三大面向進行評估:安全性(如CVE漏洞)、授權(如GPL、MIT)、健康狀態。這些資訊不僅能協助企業決定是否採用特定元件,亦能預測其長期維運風險。
自主訓練LLM模型輔助決策
OpenText在整合DevSecOps架構方面,亦具備高度彈性與完整性。李柏厚表示,在CI/CD流程中,開發者提交程式碼後,運行單元測試(Unit Test)前即可透過Fortify執行靜態分析與SCA檢測;進入部署階段時,則轉由動態分析工具模擬外部攻擊進行弱點掃描。此流程可整合Git、Jenkins、GitHub、GitLab等常見平台,並支援增量掃描、歷程管理、問題重測等進階功能。對於已導入Selenium等測試框架的企業,也能無縫接軌,將測試腳本錄製後輸入WebInspect,自動進行安全掃描,避免重複操作與人為疏漏。
OpenText資深技術顧問李柏厚指出,OpenText打造的DevSecOps平台,讓開源元件從拉取、開發、建置到部署,全程皆可檢測與控管。
隨著生成式AI(Gen AI)技術逐漸成為企業資安自動化的加速器,OpenText也積極將AI能力融入產品設計。如今Application Security Aviator(原稱為Fortify Aviator),已具備自主發展的大型語言模型(LLM),將掃描結果轉換為標準格式(如FPR檔),透過自家訓練的LLM模型進行語意理解與推論,產生自動修復建議、範例程式碼,並提供攻擊機率與風險描述。此外,其AI模組還能主動偵測LLM本身是否潛藏安全漏洞,並能比對OWASP針對LLM提出的十大攻擊手法,協助企業掌握生成式AI衍生的潛在風險。
在黑箱測試(DAST)方面,WebInspect可進行網頁與行動應用的安全掃描,支援雙因素認證流程自動化、增量與重測掃描、漏洞管理歷程追蹤等功能。透過Proxy記錄使用者在手機或瀏覽器上的操作,即可自動轉換為掃描腳本進行弱點分析。同時亦可與主流的網頁應用程式防火牆可直接整合,將掃描出的漏洞匯出為防火牆規則,實現自動化防護策略落地。