遊戲橘子善用HP企業安全方案厚實遊戲自製能力

遊戲橘子善用HP企業安全方案厚實遊戲自製能力

應用程式專案的安全弱點減少90%，並提升了程式設計師的開發效率和技術

〝HP Fortify SCA 大幅提升了我們程式人員的程式設計品質。採用SCA初期，一個子公司的程式專案可以找出數十到數百個安全弱點，但近期送來審查的開發專案，程式安全弱點只剩下十餘個，不到原來的十分之一，幾乎減少了 90%的安全漏洞地雷。〞—黃韋強，遊戲橘子企業資訊安全部經理

方法
由研發部門測試數家廠商的安全評估軟體，了解各解決方案的功能與特性。尤其程式開發的邏輯檢查能力，和具備多國及亞洲語言支援功能以促進集團子公司之間的協同合作，是公司評選產品的主要考量因素

結果
IT 改進

僅2012年上半年檢測130個專案，即修正4,800個程式的高等級安全弱點
現在一個子公司軟體開發專案所找出的安全弱點，僅為原來的十分之一，幾乎減少了90%的安全漏洞地雷
透過多國語言檢查報表的支援，各個子公司可以更容易溝通及修改應用程式

業務成效

提升應用程式自行及委外開發的安全品質
促進集團子公司之間的溝通協調與應用程式開發效率
加速公司遊戲產品的上市時程並增加產品的生命週期
減少公司遵循法規所需的成本
確保主機系統的安全及運作穩定，有效降低企業經營的風險和損失

對遊戲產業而言，保障系統安全無虞絕對是極重要的使命之一。因為一旦受到外力入侵或破壞，很有可能造成金錢上甚至是公司形象的損失。

因此，遊戲橘子一直很重視資訊安全，成立專責的資訊安全部門，不但要提升遊戲主機的安全水準，更重要的是，當公司從以代理遊戲為營運主軸的模式，走向自主開發遊戲的路途上，應用程式本身的安全風險，也成為不可忽視的 IT 使命。

從公司後續的成長來看，證明成立企業資訊安全部是公司順利成長極為重要的佈局之一。就成果來說，2011年全球遊戲市場持續變化，但遊戲橘子集團憑藉優異的營運能力及日益成熟的自主研發實力，成功掌握市場趨勢，並在全球各地站穩腳步，2011年集團合併營收為NT$72.45億元，較2010年大幅成長24%,連續四年締造歷史新高記錄。根據台灣資策會市場情報中心 (Market Intelligence & Consulting Institute, MIC) 公布的2011年台灣線上遊戲市場規模 NTD159 億元計算，遊戲橘子占台灣線上遊戲市場35%以上，是台灣最大的遊戲營運代理商。同時，因海外市場耕耘多年有成，遊戲橘子已成為香港最大線上遊戲商，在日本也是第六大線上遊戲公司。

在自製遊戲部份，除了2011年已發表四款自製遊戲《蘭格利薩戰紀》、《TiaraConcerto》、《Dream Drops》、以及針對歐美市場開發的《CoreBlaze》外，2012年也將推出多款自製網頁遊戲及行動遊戲。

確保程式安全，厚實企業成長實力
觀諸市場現實，電腦遊戲本身的品質和內容，是遊戲產業的關鍵成功因素，而就 IT 的職責來看，主機系統則必須快速、穩定，否則客戶 (玩家) 很容易流失。由於遊戲橘子的網站數量多，全機房大概有130 ~ 140個網站，網頁程式設計師也有100 ~200名，每個人寫出來的程式碼在安全品質上並不一致。為解決安全挑戰，首先要取得的就是網路應用程式安全評估方案。
在2008年，市場上能提供此技術的業者屈指可數，經過評比，由於 HP WebInspect 軟體可以掃描 Ajax、SOAP、JavaScript 及 Flash 等新一代 Web 2.0 技術的網路應用程式，因此獲得遊戲橘子的青睞，成為公司對全機房執行安全弱點掃描，即俗稱黑箱測試的主要利器。

2009年，隨著公司在自行開發遊戲的資源投入和專案數量不斷增加，為提升程式開發階段的效率和安全品質。所謂白箱測試的自動化程式碼審查 (code review) 工具，也變成極為迫切的資安需求。

HP Fortify SCA 多國語言支援促進團隊開發效率
當時選擇包含 HP Fortify 解決方案在內的4家廠商，經過將近4個月的評估及測試，決定採用 HP Fortify Source Code Analyzer (SCA) 靜態程式碼安全性檢測工具，以及 HP Fortify Software Security Center (SSC，原 Fortify 360 Server) 應用系統安全檢測數位儀表管理中心，並且在1天之內就完成了安裝作業，使用簡易，無需教育訓練。

「選擇 HP Fortify SCA 的重要原因之一，在於它與主要競爭方案的檢測方式大為不同，遊戲橘子企業資訊安全部經理黃韋強表示。競爭對手的產品使用單行程式的檢測方式，但 Fortify SCA 可以檢視編譯後的整個應用程式邏輯。」

HP Fortify SCA 另外一個獲高度重視的特色，則是其提供最多的語言支援，高達18種之多，尤其對亞洲語系的支援更比競爭廠商優異。遊戲橘子在整個亞洲區都有研發團隊，而且某些國家的成員對英文比較排斥。支援當地語言，才能增加總公司和子公司之間的溝通效率，進而加快程式修改的速度。

HP Fortify SCA 與 HP WebInspect 的結合，大幅提升了遊戲橘子的程式開發安全性和品質。遊戲橘子使用 HP WebInspect 每月固定掃描網頁安全弱點，獲得近乎百分之百的弱點發現正確度，並且能即時調整防火牆設定，改善安全性。

半年找出130個專案的4,800個高等安全問題
然而，HP WebInspect 黑箱測試所掃描出來的程式安全漏洞要怎麼處理呢？這時就要依賴 HP Fortify SCA 的協助了。SCA 的驗證規則不只是確認程式碼的安全性，也包含程式碼品質的檢查，例如無用程式碼、錯誤處理、記憶體漏失及緩衝區溢位等。以2012年上半年為例，負責全集團程式安全弱點檢測的企業資訊安全部，今年上半年檢測130個程式開發專案，大概修正了4,800個屬於高等級安全問題的程式，相當於一個專案可以找出50多個安全問題。如果沒有 HP Fortify SCA 系統，過去這4,800個問題程式就等於被隱藏的地雷。
事實上，「HP Fortify SCA 大幅提升了我們程式人員的程式設計品質，」黃韋強指出。「採用 SCA 初期，一個子公司的程式專案可以找出數十到數百個安全弱點，但近期送來審查的開發專案，程式安全弱點只剩下十餘個，不到原來的十分之一，幾乎減少了90%的安全漏洞地雷。」

此外，軟體委外開發的品質和時效也提升了。由於委外軟體開發商所開發的程式都必須送回企業資訊安全部進行原始碼安全檢查，藉由明確、清楚的檢查報告，委外廠商有了正確的修改依據，對下次的開發專案品質，自然有所助益。更進一步說，遊戲橘子還可以參考安全檢查報告的良窳，判斷委外軟體商的開發能力，將適合的專案交付適合的廠商，從一開始即確保程式的安全品質。

值得注意的是，在程式開發的流程和技術方面，整個遊戲橘子的程式設計團隊也有了明顯的進步。「在 HP Fortify SCA 原始碼安全檢查作業的驅策下，我們的程式設計團隊逐漸形成程式版本控制的概念和習慣，並進一步走向程式開發自動化的新思維，提升程式開發的效率，」黃韋強分析道。例如，結合整個程式碼的開發流程，建置自動化建構 (build) 伺服器，在建構程式時同步執行原始碼掃描，並且每日晚間自動化進行此一作業，隔日上班時間即可看到檢查報告，此舉有效改善了程式開發流程。

提升程式開發技術
此外，HP Fortify SCA 掃描完成之後，會指出問題程式碼並提供修改建議，這些建議包含眾多國際級專家的經驗值、範例程式碼，但更重要的是，它會從開發的邏輯觀念方面提供修正意見。因此儘管每位程式設計師的思維一開始是不一樣的，但因為每次都採用 HP Fortify SCA 的修正和建議，久而久之大家就能累積經驗、養成好習慣，知道如何寫出穩定、安全的程式。

節省法規遵循所需的時間和成本
嚴謹的安全檢查，也讓公司輕鬆符合法規的要求。例如建立網路上的信用卡交易、個人資料保護法的保護措施等，程式碼需通過安全認證以符合相關標準，有了 HP Fortify SCA 的協助，以及 Fortify Software Security Center 完整的安全報表及警示功能，遊戲橘子可以省下外聘檢測顧問的費用，自行完成檢測及產出法規要求的報告，縮短符合法規所需的時間。

未來，在企業安全領域，遊戲橘子將進一步強化入侵偵測防禦系統 (Intrusion Prevention System, IPS) 的部署，藉由更加完整的企業安全平台，建構更穩健的應用程式和網站安全防護能力，以支持公司深耕遊戲研發、累積核心技術和經驗，並加速遊戲開發及問世時程的長期發展目標。

標籤 : Phitech, 懇懋科技, BeyondTrust, HP, Cloud Security, Fortify, Varonis