今年的資安展地點,由往年的世貿一館移到了南港展覽館。除了因為捷運尚未通車造成的往返不便,南港展覽館本身跟周邊的環境,還真是一整個差。不過畢竟這是國內安全產業的最大展覽,參加人數還是維持不少(當然跟Game Show或3C展還是差了十萬八千里),而且研討會的場次也是維持一定的量。
往年參加廠商的數量,資訊安全相關產業比例就偏低,多是實體相關的產業,其中又以監測設備最為大宗。今年的狀況依舊,甚至有過之而無不及。從展場的平面圖可以看到資訊安全相關業者攤位所佔的面積只佔了一成多的比例,最大那塊淺綠色的區域則是監測設備廠商的單位。
資安展的廠商,大多數是老面孔,不過也有一些著名的廠商沒有參加。賽門鐵克、Blue Coat是比較大的攤位,另外中華電信也有參展。除此之外,這一兩年引起極度話題的(網站)應用程式安全的相關廠商與研討會,在會場則是另外一個無法忽視的部分。我特別看了一下作程式源碼安全檢測的廠商,包含 Parasoft、Fortify與阿碼科技都有參展,但是攤位不大也沒有什麼佈置。或許可以推論為源碼檢測在國內不但過去推行上並不順利(或者說沒有很大的利潤),而且廠商短期內對國內這個市場也沒有很大的信心。當然還有一個可能的原因,那就是老闆利用景氣不好這個萬用理由希望減少費用支出。
此外第一天我參加了三場的研討會,內容都是圍繞在網站應用程式的安全,主講單位則包含阿碼科技、F5、與關貿網路。阿瑪科技的內容訴求與表達方式,我認為是其中最明確且有說服力的。就像攤位的佈置一樣,阿碼科技雖然只有小小的一塊,但也不是光放幾張DM就了事,至少維持了一定的風格來引起注意。之間執行力與企圖心的差異馬上顯而易見。當然,這並不表示我認為阿碼科技的產品或服務就是最好或最值得信賴,但是至少不是那種打帶跑的廠商可以比擬,這通常也是原廠跟代理商之間的差別。如果你對源碼檢測有興趣,我之前有一篇相關的文章可供參考 - Gartner研究報告:靜態程式安全檢測,唯一可惜之處是原始報告對象並沒有包含阿碼科技。
以應用程式安全的議題來看,源碼檢測乃至於SSDLC應該是很重要且根本的解決方案,但是看來在推廣上其成效似乎與該議題受到的重視程度有一定的差距。我想原因之一或許是因為大家習慣用之前防火牆的概念來看待這個問題,認為只要想辦法檔或管制資料的傳遞的就可以了。另外在部署防火牆(包含網站應用程式防火牆 WAF)的難度上,也比其他方案容易多了。因為源碼檢測除了要會用工具,還要知道怎麼修改,也要教育程式設計師怎麼避免重複同樣的錯誤。而對SSDLC而言,更是會影響到整個軟體開發的流程,影響層面之大與廣,再再增加導入的難度。但是這是這類廠商無法避免的痛,光有產品並不夠,如何協助客戶導入是必要之事,甚至往往比產品本身更為重要。難度高通常也表示導入成本高,在大環境景氣不佳的這個時間點,似乎讓原有的挑戰更為嚴峻。也難怪乎阿碼科技今年的主題是由資訊主管規劃的角度去看待這個議題,而不是光講產品。其實以安全的角度來看,這種情形並不是一件好的事情,因為這是專屬於有錢人的玩意。但是安全的問題並不是大公司所獨有,更何況在以中小企業為主的台灣,更難讓這樣的概念與應用實際對整體環境產生足夠的影響。CMMI不推,通常不會產生甚麼新的問題。而SSDLC不推,系統大概就只能等著被玩爛。
第二天Fortify的演講,雖然有些文不對題,但是把源碼檢測該注意的事項倒是介紹的蠻清楚。至於翊利得的內容,比較像是EC-Council的課程說明會,對我來說沒甚麼不好,只是同樣偏題了。
展場平面圖,除了四樓外還有一樓的展場
左下角一小塊就是資安展的部分
Fortify代理商 - 叡揚資訊 - 的攤位
Parasoft 的攤位
阿瑪科技的攤位(依附在代理商),雖小但是至少有設計過
什麼!連思科 (Cisco) 的攤位都這麼陽春?
相較於資安廠商攤位的單調與平凡,監測設備廠商的攤位就有型多了
這家監測設備的廠商展示了多個設想的應用情境,其中一個是賭場。而且看來是有辦活動的
沒有留言:
張貼留言