【專欄】資安是整個團隊的責任！企業轉型「DevSecOps」的三大關鍵技術|數位時代 BusinessNext

小百科
DevOps：開發（Development）+ 維運（Operations），開發與營運團隊加強溝通合作，讓流程更敏捷和自動化
DevSecOps：開發（Development）+ 資安（Security）+ 維運（Operations），加入資訊安全成為整個團隊的責任，貫穿軟體開發的每一個環節

為了確保領先地位、透過新技術取得優勢，許多企業的 DevOps（開發維運）團隊開始採用一系列的IT工具、網路安全工具和基礎架構元件，然而，多元的解決方案也讓攻擊者有更多機會從入口點（entry points）攻破企業防線。

軟體攻擊通常來自於第三方軟體，或是開發人員從網路上下載的軟體程式庫和元件。這類型的攻擊越來越普遍，而攻擊者也利用這些機會入侵眾多企業和組織。

史上最大的軟體攻擊事件之一發生在2020年，當時寫入SolarWinds 軟體更新的惡意程式碼在美國聯邦政府各部門間散播；而 2021年3月更爆發超過20,000個企業因Microsoft Exchange Server中的漏洞遭到安全性威脅。軟體的安全性已成為熱門話題，更是白宮最新行政命令的重點。

然而對於許多企業來說，跨產品及供應商方案確實有其必要性，該如何同時應對這些威脅呢？關鍵在於沿用先前成功落實DevOps的思維、流程和工具，灌輸 IT 人員安全的重要性，同時將安全整合進流程和技術中；安全性因而成為應用程式和基礎架構生命週期的根本，且將會持續運行。簡而言之，這個實踐即能促成所謂的「DevSecOps」文化。

不只團隊合作方式轉型，安全性必須納入考量

企業改為採用DevOps是巨大的轉變。在自動化開發和營運團隊之間的流程中，DevOps可協助開發人員打造高品質軟體，讓營運團隊持續交付及維持一致的服務品質。在自動化流程中，雙方團隊可將彼此納入自身的工作流程，從而專注於各團隊的優勢。

這種方法也適用於「安全性措施」，也就是所謂的 DevSecOps 概念。安全性不該被視為干擾 DevOps 的工作流程，而是工作流程中不可或缺、卻幾乎不會被察覺的部分。DevSecOps 需要將安全步驟與 DevOps 之間的互動調整為自動化，以提供高品質軟體、不間斷的服務和高度安全性。

但這個概念實際上代表什麼呢？要理解 DevSecOps，首先認識落實 DevSecOps 的三個關鍵技術：自動化、開放標準和零信任架構。

關鍵技術一：自動化

和 DevOps 一樣，DevSecOps 的核心和基礎是自動化。自動化促成一致、重複的流程，可簡化開發、IT 基礎架構和安全團隊之間的互動形式。另一個考慮導入 DevSecOps 的原因在於可以提升自動化工作流程的能力，如分派任務給專案中的利益關係人、協助團隊處理日常與重複性高的任務，或是調度和整合IT工具。

此外，若採用自動化，團隊即能在應用程式完整生命週期內皆享有安全性自動化的優勢。透過打造通用的自動化的程式上版流程，將安全性工具加進程式和部署流程，團隊成員因此可在每一階段執行已授權的安全檢查，確保一開始就已將安全性和一致性納入程式之中。

針對上述的任務，以往會需要用電子郵件跨團隊溝通，也會因此造成分配任務延遲。藉由導入自動化，幾乎能即時處理一切流程。這打破了安全團隊與 DevOps 團隊之間的技術障礙，使安全性能夠無縫納入自動化上版流程，且不影響 DevOps 團隊的作業能力。

關鍵技術二：開放標準

在特定生態系中，安全專家會開發專屬的平台和語言以執行、描述流程和技術。為充分實踐DevSecOps，安全團隊和DevOps團隊的需求必須要能被輕易地相互轉換。

這就是為何要採用開放標準和開源工具的原因。不同於專有軟體，開源軟體和應用程式可協助潛在的 DevSecOps 團隊進行平台和語言標準化。透過這種方式，DevOps 和安全團隊可以使用相容的平台，並以一致且雙方易於理解的方式工作，如此一來不但可以省時，更能降低跨團隊工作流程在轉換時可能出錯的風險。

關鍵技術三：零信任架構

欲解決類似供應鏈攻擊的問題，關鍵在於確保企業的技術堆疊不會因為多個安全失誤而損害。即使在嚴重的攻擊中惡意攻擊者已取得登入憑證、資料庫位置或 IP 位址，但他們應該無法存取系統或網路的其餘部分。

企業應採用「零信任」安全基礎的原因，在理解傳統網路和隱性信任模型（implicit trust model）無法充分保護資料、資產或工作負載。零信任架構善用網路自動隔離的能力，防止網路資料外洩（breach）被利用。零信任架構預設 IT 網路中的一切皆不值得信任，並建議打造去邊界化（de-perimeterization）與採取最小權限的安全環境。

這表示權限是以非常細微的方式進行分配，換句話說，在網路特定位置發生的資料外洩將不會擴散。與此同時，零信任架構的自動化技術也會提供合法使用者足夠的存取權限，以確保資料外洩不會影響日常工作流程。

綜上所述，融合自動化、開放標準和零信任架構所打造的 DevSecOps，指的是從一開始就將安全性納入應用程式和基礎架構生命週期的文化。藉由落實 DevSecOps，可以打造健全的流程、應用程式及相關供應鏈，同時賦予團隊靈活性，確保企業提供創新且可靠的應用程式和服務。

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長至少800字，請附上個人100字內簡介，文章若採用將經編輯潤飾，如需改標會與您討論。

（觀點文章呈現多元意見，不代表《數位時代》的立場）

責任編輯：傅珮晴、侯品如

好友缺你一個，加入數位時代LINE，科技產業趨勢新聞一次掌握！

傳送門點這裡

AI 與數據正快速落地至各行各業，從製造、金融、電信、醫療到零售，應用速度不斷加快。但在每年交易規模至少新台幣 1900 億元的商用地產領域，卻長期受到數據破碎且不透明的限制，只能仰賴人力蒐集資訊，再憑直覺和經驗去解讀資訊、做出決策，使 AI 潛在價值難以真正發揮。為回應產業轉型的核心痛點，方睿科技首度舉辦「商用地產生態系年會 2026 Raise Day」，以開放式平台為核心，串聯專業地產服務商、空間相關企業服務商、產業專業人士等多元角色，勾勒出 B2B 企業服務生態系的全貌，希望能透過科技促進數據流動，為商用地產企業協作模式開啟新的可能性。

方睿科技雙軌策略，讓 AI 成為商用地產的決策引擎

方睿科技創辦人暨執行長吳健宇指出，在 AI 時代，人應該專注於「最有價值」的工作；然而在商用地產業中，專業人士卻有約 70% 的時間耗費在資料蒐集與整理上，真正用於判斷與決策的時間僅約 10%。方睿科技希望翻轉這樣的時間分配，讓人力從低價值的資料處理中解放，將更多心力投入在判斷、溝通與決策等創造價值的商業活動。

為此，方睿科技提出兩條實踐路徑。第一條是建構出具備完整性、易用性與進化性的商用地產智慧平台，運用 AI 技術，將過去產業中破碎、非結構化的資料，重塑為可被運算、可驗證的標準化數據，並結合圖表與互動式介面，讓使用者能夠快速得到完整市場資訊，實現「用戶即專家」的目標。

第二條則是推動生態系聯盟，將不動產視為企業服務的核心載體，串聯設計、家具、搬遷、清潔等多元服務夥伴，使空間不再只是靜態標的，而是承載案例、服務與數據回饋的生態系節點。透過生態系夥伴累積的實務資料與服務紀錄，平台得以發展「資料即推薦」模式，推動商用地產從單點交易，邁向可擴張的 B2B 服務網絡。

獨創「資料飛輪」機制，實現用戶即專家目標

在 AI 模型日益普及的當下，真正的競爭關鍵已不在模型本身，而是能否有效率地收集資料、提高資料品質，並將其與實際決策流程緊密結合。為此，方睿科技獨家設計出一個由「資料收集、資料精煉、專家把關、決策反饋」組成的資料飛輪，回應商用地產長期面臨的資料破碎與決策效率低落問題，成為方睿科技實踐願景的第一條路徑。

方睿科技技術長郭彥良進一步說明，資料飛輪機制的運作架構。首先在資料收集階段，必須系統性蒐集公開資料、內部檔案與報告，並透過 AI 協作將圖片等非結構化資訊轉換為可用的結構化數據。接著進入資料精煉，透過資料清洗與實體對齊，將原始資訊從單純的可閱讀升級為可比較、可推論的決策依據。第三步專家把關，則引入不動產專家進行校正與產業判讀，補上模型難以理解的規則與慣例，確保關鍵數據的正確性。最後的決策反饋階段，藉由收集使用者提問與行為，檢視現有資料是否足夠精準，再回到專家校正與補齊流程，使整個系統能隨使用頻率提升而持續進化。

在資料飛輪的運作基礎上，方睿科技正積極研發商用地產智慧平台 PickPeak。郭彥良表示，PickPeak 並非單純的物件搜尋工具，而是結合深度資料與 AI 的決策輔助平台。使用者可透過自然語言互動，提出人數、預算、區位、產業屬性等多重條件，再由系統動態生成可比較、可驗證的選址方案，真正將 AI 從「回答問題的工具」，轉化為「陪伴決策的數位專家」。

創新 Data to win 模式，讓 AI 深入商用地產各階段決策流程

不過，單靠數據整合與 AI 應用仍不足以支撐產業全面升級，因此，方睿科技提出的第二條路就是，推動產業生態系聯盟，整合商用地產市場上不同角色的數據，讓 AI 能夠真正成為商用地產決策時的智慧引擎。

方睿科技不動產知識創新中心總監曾凡綱指出，目前在企業、房東或物業主與各類服務供應商之間，缺乏有效的整合機制，導致企業在選址與空間規劃過程中，難以快速找到真正合適的服務與解決方案，形成明顯的產業斷點。

為解決這些斷點，方睿科技提出「Data to win」模式，以資料取代傳統「Pay to win（付費買廣告）」思維，讓真正具備經驗與實績的服務夥伴，在適當的決策節點被看見。

曾凡綱說明，在廣告投放效益越來越低的情況下，企業服務商面臨的問題已不只是「如何曝光」，而是「如何在對的地方被看見」，這將是未來的市場勝出指標；而 Data to win 正好可以協助企業服務商建立此能力，方睿科技將生態系夥伴所擁有的案例、服務紀錄與產業知識等資料，經過去識別化與結構化處理後，再嵌入企業決策流程中，讓推薦不再來自廣告投放，而是真實、可被驗證的使用經驗，透過這樣的機制，不僅提升企業決策的準確度，也能同步放大生態系夥伴在合作中的實質價值。

舉例來說，方睿科技整合辦公傢俱夥伴 Backbone 班朋實業長期累積的辦公室規劃案例與平面圖資料，讓企業在選址階段，就能同步評估空間規劃方案，加速決策流程。又如，整合出行服務夥伴 USPACE 悠勢科技的服務資料，並呈現在地圖上，協助企業評估辦公據點的交通便利性，優化員工日常通勤與出行體驗。此外，平台也可整合大樓的 ESG 認證、公共設施與服務層資訊，協助企業快速篩選符合需求的辦公大樓，提升進駐媒合效率。

「Raise Day 只是這場變革的起點。」吳健宇強調，方睿科技已經透過投資與合夥模式，將布局延伸至專業地產服務與空間經營領域，至今旗下已有商用不動產仲介、顧問與估價等專業服務的宇豐睿星，以及聚焦商用地產代銷市場的希睿創新置業。透過直接參與第一線實務運作，方睿得以更深入理解產業真實痛點，讓科技不只是工具，而能真正回應實際決策與服務需求。

此外，方睿科技未來也將持續擴大「商用地產 x 企業服務生態系」聯盟，目前包括 Backbone、USPACE、IKEA For Business、潔客幫等企業服務夥伴已率先加入；接下來，方睿科技將邀請更多擁有關鍵數據與專業能力的企業服務商加入，讓數據在安全、可控的前提下流動，進一步釋放商用地產在選址、營運與企業服務等全生命週期中的結構性價值，為產業轉型啟動下一個關鍵階段。

右起方睿科技共同創辦人暨營運長陳致瑋、USPACE悠勢科技共同創辦人暨執行長宋捷仁、Backbone班朋實業創辦人暨執行長廖家葳，透過企業服務生態系合作共同為產業啟動下一個關鍵階段。

圖／數位時代

方睿科技官網： https://www.funraise.com.tw