近年來滲透測試與紅隊演練服務已逐漸成為企業檢視產品安全的方式，即便以上皆為找尋漏洞的有效方式，但作法還是離不開亡羊補牢的概念，修復之後即便推出更新，市面上仍會存在沒有更新的使用者，企業只能盡可能的縮小影響範圍。本議程將進一步說明公司內部自己擁有紅隊的好處，在開發的同時進行滲透測試，不但可以提前將漏洞清除，使其完全不會流通於市面上，在紅隊與開發人員的持續對話中也可以增加開發人員對於資安漏洞的敏銳度。除此之外，在安全相關功能的設計與實作時紅隊也能夠以攻擊者的角度檢視，提供有效的諮詢服務，在架構設計層面就確保功能的安全性。透過以上種種方式，企業將能夠利用紅隊的能量協助開發，不但不會拖慢開發進度，反而可以使得產品更安全快速的開發，最終讓一般認知在對立面的紅隊與藍隊互相調合與合作，更迅速、順暢且完善地提升企業的資訊安全。

在微服務架構中，API (Application Programming Interface) 扮演著重要的角色，這種架構都是藉著利用 API 在各個 components 之間交換訊息，而 API 的安全性在這種架構下也越發重要。OWASP 也在 2019 年提出了 API Security Top 10。在本次演講中，我將討論如何利用不安全的 API 來獲取數據以及如何滲透您的 API。

在現今的 SDLC/SSDLC 中，SAST/DAST 是相當重要的一環

然而針對 source code review，過度依賴自動化 solution 可能無法完整的提供防護

本場分享希望能帶大家看一些 source code scanner 的優勢以及一些不容易發現的誤區

在本次演講中，我們將介紹安全開發生命週期 (SDL) 的概念及目的，並分享 Synology 在引入 SDL 和實踐 DevSecOps 方面的經驗。展示產品安全保障 (PSA) 和滲透測試的進行方式和成果，以及使用靜態和動態應用程式的自動化安全測試，進而提升軟體品質和安全性。

我們將分享在引入 SDL 和實踐 DevSecOps 過程中遇到的挑戰，以及該如何一步一步解決這些問題。透過實際經驗說明，希望聽眾能夠更加理解 SDL 和 DevSecOps 的重要性及必要性。這些措施不僅對提升軟體品質和安全性有莫大貢獻，同時也能為廣大使用者提供更安全的產品。