軟體工程師一堆密碼記不住！Google看中的新創Infisical，怎麼解決痛點？|數位時代 BusinessNext

管理Facebook、Instagram、Google、YouTube、Discord等不同平台的帳號密碼非常麻煩，對軟體開發團隊也存在「密碼問題」，每開啟一個專案，就需要一組對應的加密與解密的專屬金鑰（key）作為編輯權限，通常軟體開發團隊會將這些金鑰統一儲存管理。

不過這存在一定的資安風險。當團隊成員內部進行金鑰傳送時，可能因人為疏失造成資料外洩，又或者更新程式碼版本時不幸遺失所使用的金鑰，甚至在發布程式碼到Github時，不小心上傳到含有金鑰的檔案，都有可能會造成重大的資安危機。

曾入選知名新創加速器Y Combinator的新創Infisical，以中心化的集中管理平台協助企業管理不同的金鑰，並以端到端加密（E2EE，End-to-end Encryption）資料保存的方式，降低資訊在傳遞的途中被外洩的可能。自2022年創立以來，每個月已經協助企業及政府保存超過1億筆機密資料，更在今年獲得Google旗下創投基金Gradient Ventures的200萬美元（約新台幣6,000萬元）種子輪基金。

資訊安全新創Infisical，獲Google旗下創投Gradient Ventures注資

Infisical創辦人Vlad Matsiiako、Maidul Islam及Tuan Dang在康乃爾大學主修電腦及數據科學，寫程式時加密與解密的不便正是他們創業的主因。

金鑰的應用就像每月收到的電子對帳單，在收到經銀行加密的檔案後，收件者必須要輸入身份證字號，才能解開檔案並開啟閱讀。即使步驟繁瑣，但為了保障個人資料安全，此加密、解密的過程是不可或缺的一環。

對軟體工程師而言，軟體開發金鑰依循著同樣的道理。使用不同軟體時，他們總會創造出兩把一組的金鑰，一把提供給軟體主要開發者自行保管及資料加密使用，另一把則提供給團隊成員，以便在接收到開發者已加密的資料時進行解密。

對每個專案皆會使用到不同金鑰的軟體工程師而言，為簡化整理複雜資訊及多把金鑰管理的步驟，會選擇將金鑰存入該專案的環境變數（.env檔），將不同軟體的金鑰儲存統一管理，並保存於自己的電腦中，以便後續在進行軟體改版或修正時，可快速找到對應使用的金鑰。

但當專案因程式碼變動而產生不同版本的檔案，存有多項金鑰的.env檔便容易因版本過多而搞混，出於方便有許多工程師便存著僥倖心態，將存有重要金鑰的檔案共同存放在單一檔案中，若後續在進行程式碼上傳時未有注意，便有可能因此而不小心上傳至公開網站中。

為解決這項問題，公司不僅要求他們尋找能與現行軟體相容，並兼具安全、方便使用特性的資料管理系統。同時也出於資安考量，要求他們在傳送重要資訊時，將機密資訊分段並透過如電子郵件、通訊軟體等不同管道傳送給對方，這樣的方式儘管有效，卻也造成作業上的麻煩。

企業總需花費許多時間及精力尋找適合的系統，創辦人之一的Vlad Matsiiako表示，因為清楚知道大型團隊進行資料保護的困難，在與產業同儕討論過後，他們便決定以資訊安全為核心進行創業，打造多功能的資料管理系統。

打破「使用者體驗」及「資安」只能擇一的困境，Infisical試圖在兩者間取得平衡

普遍在進行資料維護的過程中，企業總要在操作介面及資安維護間做出取捨。也就是說，如果選擇的是足夠安全的資料保護系統，必然要面對極為複雜的系統介面；另一方面如果選擇的是簡易上手的系統介面，系統背後則有機會藏有資料安全漏洞。

Infisical卻打破了這兩極化的現象，他們設計了Low-Code的使用體驗，只要輸入一句指令，便可以儲存包含API金鑰、資料庫存取權限（Database Access Tokens）等重要資訊，並提供金鑰權限控管功能，公司可明確地控制哪些帳號有權限讀取開發中的軟體，或者進行軟體改寫操作。

團隊也在系統中內建稽核機制，協助企業記錄每項軟體開發步驟的建立及修改狀況，並提供不同版本專案的金鑰管理，讓企業可以隨時回溯至之前的專案版本，以便在軟體測試時出現錯誤時找回原始資料。同時系統也提供程式碼檢查機制，當工程師將程式碼上傳至Github前，預先檢查程式碼中是否包含機密資訊，若偵測到含有機密文件便會阻止使用者上傳該段程式碼，以便防止機密資訊外洩。

開放大部分Infisical系統原始碼，促進資訊安全生態圈共好循環

不同於一般資料儲存系統提供固定的使用者介面，Infisical選擇公開大部分系統的原始碼，並將指令碼上傳至Github提供給企業參考。

Vlad Matsiiako表示，對於個人系統開發者及業餘軟體設計師，目前Infisical在Github上所提供的指令碼已足夠讓他們探索，有能力的工程師也可以依據企業特性進行些微修正。而為了公司營運，Infisical仍保有一部分核心的系統原始碼，提供給購買企業版軟體的公司，以便提供更高階的資料安全維護服務。

日前Infisical系統的導入沒有收費，且系統研發者可透過開放原始碼進行修正。若想取得核心的系統原始碼，則針對企業團隊規模分別以每月8美元（約新台幣250元）及18美元（約新台幣570元）的方式收費，而針對希望擁有客製化系統的企業，Infisical也提供客製化方案，不僅提供全日的即時協助管道，也開放軟體創立至今的所有歷史版本給企業運用。

參考資料：TechCrunch、SecurityWeek、Infisical Blog、Infisical

本文授權轉載自：創業小聚

責任編輯：錢玉紘

在資訊爆炸的投資時代，面對琳瑯滿目的投資選項，你是不是也不知道該如何做選擇？其實「選對工具」比「努力研究」更有效率。長期深耕金融科技的鉅亨買基金，早已洞察基金投資領域中資訊分散、選擇障礙、操作繁瑣的痛點，透過科技與使用者中心的系統設計，致力打造更方便、效率的智能投資體驗。

除了有全站基金終身 0 手續費的吸睛誘因，更重要的是鉅亨買基金解決了投資人的實際困擾；透過動態篩選熱門基金、自動化投資工具等創新功能，將過去需要專業知識和複雜操作的投資流程，簡化為直覺易懂的數位體驗，逐步改變了傳統的基金交易模式，讓理財不再是少數人的專利，而是人人可及的日常選擇。

這次鉅亨買基金全新改版 App 正式上線，更進一步強化平台體驗。以看得懂、找得到、學得快的設計精神，整合多項創新功能，讓基金投資輕鬆上手、事半功倍。無論是理財新手、基金老手，或有多個家庭帳戶需要管理的財務大臣，透過鉅亨買基金全新 App，即可一站掌握市場情報、熱門標的、專業策略與帳戶總覽。

其中，全新推出的「大師榜」功能，更力助投資人掌握高手秘笈，有機會跟著前輩練功，一步步練出屬於自己的投資眼光。

功能全開箱！一站搞定找基金、看標的、管帳戶

打開鉅亨買基金 App，最直覺的感受就是：乾淨、精準、快速。設計邏輯不複雜，透過快搜、熱門標的、帳戶整合與自選捷徑設計，將過去繁瑣的基金投資流程化繁為簡，打造一個隨時可啟動、易於操作的投資入口，讓資訊不再分散，動作更精準。為降低基金學習與決策門檻，即使尚未開戶，仍可下載App使用以下亮點功能：

一、基金搜尋：輸入關鍵字如「高股息」、「ESG」、「科技」等，即可快速列出相關標的。配合風險等級、配息頻率、基金品牌、幣別、投資區域等條件篩選，搭配報酬率或績效排序，為投資人有效縮短挑選時間。

二、夯股基金：針對市場熱門題材，使用者可點選最多五檔熱門持股，如輝達、蘋果等，快速查詢各基金的持股比例，並依喜好排序篩選。對於想掌握趨勢卻擔心判斷失誤的投資人而言，「夯股基金」提供了更安全、有效的參與方式，透過專業基金經理人篩選與靈活操作，幫助新手建立題材導向的選基邏輯，同時分散個股波動風險，不漏接每一波趨勢財。