開發流程安全

Openfind 長久以來致力於研發安全的產品系統，透過累積數年來的實務經驗、豐碩的研發成果以及完善的產品開發，建構出高品質的產品系統。各項產品能夠長時間通過不同客戶與環境的嚴苛考驗，並且持續的提供高效能、安全以及穩定的系統服務，都要歸功於完備的開發流程。

訓練計畫

安全的產品開發流程，首先從 Openfind 工程師的訓練開始，除了核心技術能力的淬煉外，培養研發與開發的資訊安全意識，並建立良好的安全規範，讓往後產品設計及開發的階段中，每研發人員都能自動的遵守與實踐。訓練的過程中，特別注重下列的各個項目：

• 避免 Buffer Overrun
  Buffer Overrun 是系統最常遭受攻擊的手段之一，利用程式設計上的錯誤，輸入過大的資料，造成系統發生問題，而導致安全的疑慮。因此程式撰寫的時後，確認每一筆輸入的資料都是合法長度，且在使用每一段記憶體時，謹慎確認及處理資料的長度。
• Initialize Memory
  在記憶體使用時，如果沒有將該區的記憶體先初始化就進行使用，可能會讀取到該區記憶體上次使用後所殘存的資料，直接使用而造成系統執行的錯誤。因此，初始化需要使用到的記憶體，以避免系統執行的錯誤發生，更顯得額外重要。
• 避免 Memory Leak
  Memory Leak 是在開發系統時，最常發生的疏失，它會造成系統的記憶體使用量，隨著長時間的運行而持續增加，直到消耗殆盡，導致系統無法穩定的長時間運行。Openfind 要求工程師在使用完記憶體時，將無須使用到的記憶體進行釋放。在每個功能開發完成後，都會要求開發者將該功能進行大量的測試，以確保記憶體的使用量正常。Openfind 系統之所以可以長時間的穩定運行，要歸功於此項規範及檢測。

…等等關注於系統安全的訓練，以確立 Openfind 產品標準的穩定性及安全性。

系統開發

• 安全的架構設計
  系統設計的階段，會針對需求提出多種的架構設計，並且對各種設計方式進行評估及安全性議題的討論，確保設計出來的系統能兼顧安全及效率。
• 穩定的系統開發
  系統實作的階段，除了遵守程式開發的安全規範外，在開發完成後，會針對完成的原始碼進行 code review；並且使用知名的原始碼檢測工具 Klocwork，進行安全性掃描，確保完成項目與功能的安全與穩定性。

品質確保

• 內部安全測試
  Quality Assurance 是檢測整個系統正確性及安全性的重點，需要在此階段對系統的品質進行把關。測試階段，透過大量 Testing Case 測試，輔以全面的 Auto-testing，檢測的重點包含了網頁最容易遭受到的攻擊性項目，如：SQL injection、Command injection、Cross-site scripting(XSS)…等等。
• 外部安全測試
  與工業局資安推動計畫、工研院資訊與通訊研究所承辦之資安整合服務平台合作，以 Acunetix Security Audit 檢測網站、網頁應用程式及產品功能之弱點檢測。

技術支援

Openfind 的首要宗旨是提供客戶高效能、安全及穩定的系統服務；除此之外，安全的系統部署及專業的技術支援，也是我們最為重視的項目之一。當客戶遇到技術相關問題或是發現系統潛在威脅時，Openfind 會在第一時間內回應，並用最快速的方式處理，避免客戶暴露在風險之中。
因此我們提供快速反映問題及系統回報的管道，您可以透過電子郵件寄送到 cert@openfind.com.tw，或是使用系統回報機制回報所發生的問題。

系統回報

為了能夠快速的解決您所遇到的問題，請幫助我們了解問題的狀況。您可以透過本頁制式的系統回報機制，將問題發生的環境、狀況與操作流程，一一輸入於表格中。此外，您也可將問題的詳細狀況描述在電子郵件中，並寄送至 cert@openfind.com.tw。 當收到您的回報時，我們會詳細的確認問題，如果經研判後確認是系統的問題時，會盡快的進行修正，並將修正的更新檔盡速的派送至所有的客戶端並安裝。

問題回報 (＊ 表示必填項目)

＊ 選擇產品：

Mail2000 電子郵件系統 MailGates 郵件防護系統 MailBase 郵件歸檔管理系統 OES 企業搜尋軟體 MailCloud 企業雲端服務 P-Marker Cloud 個資盤點服務 SecuShare 分享管理系統

＊ 作業系統：

瀏覽器：

瀏覽器版本：

＊ 描述安全問題：

＊ 描述該安全問題的影響：

＊ 描述問題發生的流程：

上傳附加檔案：

聯繫資料 (＊ 表示必填項目)

＊ 公司名稱：

＊ 聯絡人：

＊ 職稱：

＊ Email：

＊ 聯絡電話：

---

輸入驗證碼：

重新產生