29. 關於應用系統開發過程納入資訊安全要求的描述，下列何項正確？
(A) 各個程式設計皆有一套執行方式，較難書面記錄以套用於資訊系統撰寫流程
(B) 應用系統安全測試需於開發完成之後再進行，以免影響程式開發時間流程
(C) 應用系統委外第三方廠商開發，內部建立之開發安全工程原則不適用要求委外開發的活動
(D) 曾經發生常見導致資訊安全脆弱性之程式開發實務作法及缺陷，可納入文件做為開發遵守依據

答案：登入後查看
統計： A(3), B(3), C(9), D(143), E(0) #3671665

hiiii

B2 · 2025/12/14

#7255992

這題的正確答案是：

(D) 曾經發生常見導致資訊安全脆弱性之程式開發實務作法及缺陷，可納入文件做為開發遵守依據

這題考的是 SSDLC (安全軟體開發生命週期) 與 安全編碼標準 (Secure Coding Standard) 的基本觀念。

為什麼 (D) 是正確的？

經驗傳承與知識庫： 資訊安全非常重視「記取教訓」。將過去常見的漏洞（例如 OWASP Top 10、CWE 常見弱點）以及曾經發生過的資安事故原因，整理成內部的「安全程式開發規範」或「檢核表 (Checklist)」，要求開發人員遵守，是預防漏洞最有效的方法之一。這符合 ISO 27001 中關於系統開發與維護的安全控制要求。

(A) 各個程式設計皆有一套執行方式，較難書面記錄...：
- 錯誤觀念： 雖然每個人的寫法不同，但「安全標準」必須統一。例如：統一使用參數化查詢來防止 SQL Injection、統一的加密演算法標準、統一的 Log 格式。如果無法標準化並書面記錄，就無法進行有效的程式碼審查 (Code Review)。
(B) 應用系統安全測試需於開發完成之後再進行...：
- 錯誤觀念： 這是傳統瀑布式開發最嚴重的資安誤區。現代資安強調 「左移 (Shift Left)」，意即將安全測試（如 SAST、DAST）盡早引入開發流程。
- 代價： 如果等到開發完成才測試，一旦發現底層架構有安全漏洞，修復成本將是設計階段的數十倍甚至上百倍。
(C) 應用系統委外...內部建立之開發安全工程原則不適用...：
- 錯誤觀念： 這是 供應鏈安全 (Supply Chain Security) 的大忌。企業必須將內部的資安要求寫入 合約 (SLA) 中，要求委外廠商遵守同樣（甚至更嚴格）的安全開發標準，並保留稽核廠商的權利。資安責任是無法完全外包的。