1. 中華電信-個人工作成果報告1/18
資訊安全強化說明
 資訊安全強化 目的說明
 因應速達系統包含大量客戶資料，因此針對程式上的資訊安全做把關
 透過每次CodeReview提升系統開發人員對資訊安全的Sense
 協助軟體開發人員於開發階段迅速找出資訊安全的漏洞
 避免Hacker 使用SQL Injection及 XSS 攻擊網站

2. 中華電信-個人工作成果報告2/18
資訊安全強化
[Fortify 弱點掃描]
1. 確定安全弱點嚴重等級
2. 將安全弱點的程式歸類
4. 修改程式碼
3. 透過程式追蹤分析
 Fortify 弱點掃描步驟說明
1. 分類出程式碼中安全弱點等級 (HOT列為優先修正)
2. 將程式碼依據OWASP 進行分類(XSS…)
3. 透過程式碼追蹤分析取得需要修正程式碼位置
4. 修改程式碼，排除安全弱點。
降低駭客攻擊危險
及
保障個資安全

3. 中華電信-個人工作成果報告3/18
資訊安全強化
[SQL Injection防範]
 強化 速達系統 SQL Injection 攻擊說明
 Escaping data：採用Replace方式Escaping危險符號
 Parameter Binding：採用參數式方式撰寫SQL碼
 Input validation：採用Regular建立黑白名單
Escaping data
Parameter Binding
Input validation
具體改善SQL Injection攻擊
程式碼範例

4. 中華電信-個人工作成果報告4/18
資訊安全強化
[Cross-site scripting (XSS)防範]
 強化 速達系統XSS 攻擊說明
 Escaping data：採用微軟提供的AntiXssLibrary
 Use ASP.NET Request Validation：調整WebConfig設定
 Input validation：採用黑/白名單過濾
Escaping data
Use ASP.NET Request Validation
Input validation
具體改善XSS攻擊
程式碼範例

5. 中華電信-個人工作成果報告5/18
專案管理案例
[VSTS管理專案進度]
 說明
 透過工作項目追蹤讓專案成員可取得最新工作項目、更新工作進度
 每週/每月 可從VSTS報告中彙整出Bug、人力及工時狀況
 透過VSTS提供PM快速匯總報表及人員進度掌握
VSTS工作項目追蹤
VSTS 報表匯總
匯總出
每周/每月人力統計、
Bug及UHD總數
達到降低人力整理時間
及
快速掌握人員工作進度

6. 中華電信-個人工作成果報告6/18
~ The End ~