由內而外強化應用程式安全性，降低地緣政治引發的資安風險

2022 年開年以來，東歐及西太平洋地區受俄羅斯入侵烏克蘭及中國擴大軍事演習等影響，地緣政治風險急遽升高，周邊國家的企業和組織也在資訊安全方面受到更大的威脅與挑戰。 

地緣政治緊張所導致的攻擊威脅，最常見的就是阻斷攻擊以及網頁竄改。阻斷式攻擊多半需從網路供應商著手，過濾惡意流量。而網頁竄改則多半是因為系統設定錯誤或應用程式本身有安全弱點所導致的。網頁竄改表面上僅影響企業和組織的形象，但其實揭露了更深的安全危機。攻擊者入侵後，固然能夠將網站內容竄改為其政治訊息，亦可以在網站中植入惡意 JavaScript。對於造訪者數量多的政府網站等，攻擊者可透過 JavaScript 進一步攻擊網站造訪者的瀏覽器弱點或植入惡意程式。對於電子商務網站等，攻擊者則可植入 Magecart 類型的 JavaScript，竊取購物者的信用卡號碼等個人資料。

Lucent Sky AVM 的弱點自動修正功能，能自動修正如 cross-site scripting、SQL injection 等 OWASP Top 10 中的常見弱點，降低網站受到竄改或植入惡意 JavaScript 的可能性。Lucent Sky AVM 使用獨家的分析和修正演算法來識別弱點，並生成可實際修正這些弱點的安全程式碼。舉例來說，若程式未將資料庫內容過濾即輸出至網頁，Lucent Sky AVM 能自動為相關的程式加入安全過濾函式，避免 cross-site scripting 弱點。若程式以外部輸入建構 SQL 查詢，Lucent Sky AVM 則可將相關的程式改寫為參數化查詢，避免 SQL injection 弱點。這些修正是依據每一個弱點個別產生，開發者可逐一檢視後再套用，亦可鉉則自動將修正後的安全程式碼套用至既有程式碼中。

除此之外，地緣風險也再次暴露了開放程式碼以及軟體供應鏈相關的風險。Node.js 的套件 node-ipc 是一個跨處理程序通訊的熱門模組，每周在 NPM 有超過百萬次的下載。在 3 月時，該套件的維護者特意改變了套件的內容，若執行時偵測到主機的 IP 位置在俄羅斯或白俄羅斯，則會隨意將系統上檔案的內容改變為反戰訊息。此外，委外開發的系統在佈署時若未完整測試，開發廠商提供的檔案或使用套件中的弱點跟著上線，則可能導致如互動式資訊服務站、公共電子看板等看似封閉的系統被入侵的事件。

Lucent Sky AVM 的二進位碼分析，能在沒有程式碼的情況下，檢測執行檔和函式庫是否具有安全弱點。而軟體組成分析與套件更新指引功能，能識別應用程式所使用的第三方套件是否有已知的風險，並提供開發者更新這些套件的指引。軟體組成分析與套件更新指引推出一年以來，已協助開發者識別超過三百萬個有弱點的相依性，並將它們更新至安全的新版本。Lucent Sky 的掃描報告中，亦包含了完整的 SBOM（軟體物料清單），協助企業和組織符合如美國國家電信暨資訊署的相關法規和產業規範。

地緣政治因素所導致的威脅往往來自多個面向。企業和組織需要多種安全工具併用，由內而外縱深防禦，才能有效的防範相關風險。Lucent Sky AVM 讓開發者能有效率的強化應用程式的安全性，有效降低企業和組織面對地緣政治風險的危脅。