資安問題經常是因為應用程式未獲得充分的檢查與防護就貿然部署所導致。那麼，應用程式最大的資安風險是什麼？企業又該如何確保 DevOps 流程的安全？

為了因應產業變化的腳步，數位轉型是企業必經的重要過程。隨著全球因冠狀病毒疫情而陷入停滯，這樣的轉型不僅必要，也更加迫切。當企業開始拓展自己的數位足跡、打造現代化流程讓員工從任何地點都能隨時工作，企業也應思考如何在滿足客戶需求的同時，也簡化程式變更的流程。這股數位轉型趨勢在近幾個月來尤其明顯，各領域應用程式的使用率都明顯暴增 。

應用程式現在已扮演一個不可或缺的角色，許多企業和使用者不論在工作、教育、娛樂、零售及其他用途，都得仰賴各式各樣的應用程式。在這樣的情況下，應用程式開發團隊將扮演著關鍵的角色，不僅要確保應用程式能為使用者提供絕佳的便利性和效能，更要防範駭客攻擊。因為駭客隨時都在尋找弱點、漏洞、組態設定錯誤以及其他可利用的資安破口來發動惡意攻擊。假使企業為了保住業績和營收而急於讓應用程式上線，那麼資安的風險將更加令人擔憂。前一陣子推出的接觸者追蹤應用程式所引發的隱私權問題，就是應用程式開發和部署操之過急而帶來危險的最佳範例。今年五月，美國華盛頓郵報 (The Washington Post) 報導，接觸者追蹤應用程式雖然對政府單位與研究機構在控制疫情擴散方面很有幫助，但卻可能不小心讓駭客取得新冠肺炎 (Covid-19) 確診者的敏感資料。

不安全的應用程式所帶來的嚴重風險，突顯出應用程式防護以及在設計、開發、部署等階段發掘、修正及強化應用程式安全的必要性。本文探討應用程式可能面臨的資安風險與威脅，以及企業該如何將網路資安防護融入 DevOps 流程當中。

絕大部分外部攻擊都是瞄準軟體漏洞或網站應用程式

應用程式複雜性日益攀升，再加上第三方程式庫及其他問題，讓應用程式更容易遭遇資安風險和威脅。根據 2020 年一份 Forrester 報告指出，資安專業人員認為絕大部分外部攻擊都是瞄準軟體漏洞或網站應用程式。同一份報告也指出，開放原始碼軟體是應用程式安全的一大隱憂，開放原始碼資安漏洞自去年至今已成長 50%。