為 AI 時代實現應用程式現代化
打造無摩擦安全性的五大支柱
應用程式現代化是指將關鍵應用程式升級,使其符合當代的安全與建置標準。不論是作為數位轉換的一部分,將內部部署的應用程式重新託管至公有雲端,或更新應用程式的原始碼以遷移至受支援的作業系統,甚至是全面改造應用程式,以充分發揮容器化在擴展性與韌性上的優勢,應用程式現代化都能為老舊軟體注入創新能量。
應用程式現代化的好處眾多:效能與韌性提升、使用者體驗改善,而最關鍵的一點,是讓應用程式在安全的環境中執行。要實現這些效益,IT、安全與應用程式開發團隊之間的協作至關重要。跨職能團隊最能有效完成應用程式現代化專案,並達成最佳成果;更重要的是,而從專案啟動之初就將安全納入解決方案中,就能避免在交付期限逼近時,進行耗時又費成本的審查與修補工作。
聽起來很簡單,對吧?
協調團隊的挑戰
事實上,有幾項因素會讓應用程式現代化工作充滿挑戰,其中包括 IT、安全與開發團隊之間的優先順序衝突。這些優先順序在組織和業務需求的更大背景下相互競爭,且往往偏向於能為組織帶來新機會的創新,而非更新現有應用程式的工作。
根據為《2026 年 Cloudflare 應用程式創新報告》進行的調查,79% 的 IT 領導者聲稱他們的安全團隊和應用程式團隊已經達成一致。但我必須指出,這種一致性是有程度之分的。根據我的經驗,真正 100% 步調一致,抱持著「我們熱愛安全,沒有安全團隊的參與我們絕不行動」態度的團隊,其實只佔少數。對我們大多數人來說,要讓所有人保持一致確實是一場硬仗,尤其是在時間緊迫的時候。
有一點是確定的:當一個組織決定進行現代化時,所有相關方�都希望盡快完成工作,以節省寶貴的資源。
AI 或許能提供幫助。AI 輔助開發正迅速成為許多企業的新常態,讓程式設計師能夠比以往更快地產出程式碼。儘管 IT 和安全部門也有各自的 AI 工具來幫助跟上節奏,但隨著更積極的交付目標壓垮既有流程,應用程式開發人員產出速度的提升,可能會使協調工作變得更加複雜。
有些 AI 工具加速了開發,有些則讓現代化形勢變得更加複雜。AI 迅速整合到企業環境的各個角落,進一步擴大了攻擊面,不僅包含了人類身分與非人類身分 (NHI),現在還多了智慧體。簡而言之,即使是最直接的應用程式現代化專案,也可能帶來複雜性,讓安全組織難以跟上腳步。
CISO 深知,安全性是任何應用程式現代化工作的核心。那些從程式碼、基礎架構到安全控制都採用「安全納入設計」原則的組織,具備明顯的競爭優勢。
「競爭優勢」這個詞常被掛在嘴邊,我在此釐清一下:如果您的應用程式架構不具高可用性,容易發生中斷,那麼當系統停擺時,您將會失去營收與商機。然而,如果您的應用程式因為安全控制失效而無法確保客戶資料的機密性或完整性,您將會失去更重要的東西:客��戶的信任。俗話說得好,信任是最難贏得卻最容易失去的東西。能夠容忍不安全、未能保護其使用者的應用程式的時代已經結束了。如果您想引領您的產業,並為您的產品要求高額定價,那麼安全、高可用的技術只是入場券。
舊應用程式,新問題
情境決定一切。在傳統資料中心四面牆內執行的舊版應用程式(是的,它們依然存在!)幾乎都必須進行徹底改造,才能在公有雲端中托管。生命週期已結束的作業系統、充滿漏洞的函式庫,以及經過十多年反覆修改的設定,不能只是單純隔離或加上防火牆就丟上雲端。此外,現代應用程式會透過 API 與其他系統與服務互動,而每一個 API 都可能成為進入易受攻擊系統的潛在入口。
再來是成本控制問題——這在雲端托管時可不是小事。一個可以在傳統資料中心內,以一次性資本支出和相對較低的持續支援成本建置的舊式架構,當套用雲端計算模式時,可能會產生截然不同的成本衝擊。事實上,根據 Cloudflare 的研究,有 52% 的組織將預期的預算增加歸咎於雲端轉型所帶來的變化。
好消息是,雲端讓企業更容易享有低成本與現代化解決方案的好處,像是容器、微服務與物件儲存體等技術。而且當雲端環境設定得宜時,成本也相對可控。
壞消息是什麼呢?這些令人驚豔的現代化選項,連同那些 API,也同樣會大幅擴展您的攻擊面。
安全性與創新密不可分
當您將舊版應用程式遷移到雲端時,不難理解 IT、安全和開發團隊之間的合作為何至關重要。每個團隊都帶來他們的專業知識和對現有標準的理解——這在為新的、現代化的應用程式設定「遊戲規則」時極其重要。IT 部門擁有這棟房子,應用程式開發人員設計它的功能,而安全部門則在確保一切建築在堅實的基礎上。
任何做過家居裝修的人都能證明,最好的方式是從專案一開始就有一個各方都清楚理解的明確計畫,並且知道誰負責計畫中的哪一部分。舊應用程式就像房子一樣,總是充滿意外,尤其是當您開始拆解它們時,問題、小狀況與意料之外的麻煩幾乎是必然的。
在面對應用程式現代化挑戰時,所做出的決策會直接影響最終成果,因此領導團隊必須將「安全納入設計」列為優先。不應該期望安全團隊在開發團隊做出架構決策後,才倉促地進行匆忙的安全審查。同樣地,應用程式開發團隊也必須在既有標準之下作業,以確保系統的可支援性與韌性,因此 IT 部門也必須從一開始就參與決策流程。這是一場團隊運動,千萬要記得。
協調安全性與現代化的益處
根據 Cloudflare 的研究,有 14% 的受訪者表示其應用程式現代化進度落後。在 90% 的組織坦承去年曾遭遇安全事件的背景下,這格外令人擔憂。其中許多組織坦言,他們仍深陷被動式安全反應的泥淖,花費大量時間與資源回應警示,疲於對抗如惡意機器人攻擊與詐欺等常見威脅。
相較之下,有 13% 的受訪者表示其現代化專案進度超前。這些組織同時也展現出更高的創新速度、更靈活流暢的決策文化,以及更有意義的 AI 應用。差異何在?答案就在於採用「安全納入設計」原則,以及利害關係團隊之間的緊密對齊。這種對齊在大型組織(員工超過 2500 人)與科技公司尤為關鍵,因為如果沒有集中的協調工作,這些組織更容易出現決策分歧的情況。
協調不良會帶來嚴重的後果。那些難以協調安全、IT 和應用程式優先事項的組織,面臨明顯的劣勢,使其落後於競爭對手,特別是在採用 AI 方面。由於沒有統一的作法與管理階層對優先順序的共識,這些協調不良的組織對於 AI 開發的準備程度感覺遠遠不足,只有略高於 10% 的組織回報其現有基礎架構和人才「完全足夠」。
然而,採用安全納入設計方法並成功交付應用程式現代化專案,將能帶來近乎立即與長期的效益。根據《2026 年 Cloudflare 應用程式創新報告》,95% 的領先組織(即現代化進度超前者)認為,當內部協調度高時��,他們能更好地運用 AI——而且他們通常擁有更高的 AI 採用率。
將安全納入設計,加速現代化
採用以下五大策略支柱的科技領導者,能讓組織在應用程式現代化專案中最大化投資回報。
1. 培養安全優先的心態。
透過確保每個人都知道安全並非可有可無,來減少摩擦。在開發團隊內部,採用 DevSecOps 方法,將安全納入設計原則整合到開發管道中,而不是將安全定位為一個獨立的核准關卡。
這種安全優先心態的回報是巨大的。那些使其應用程式現代化與安全工作相一致的組織,認為自己在 AI 發展方面領先同業。
事實上,根據 Cloudflare 的研究,認為這種協調「非常容易」的組織,其在 AI 使用上的發展程度,是認為協調「困難」的組織的近四倍。
2. 瞭解技術和業務優先事項。
與同級的高階主管合作,確立優先事項,並更好地管理資源和期望。主動協調可能包括年度規劃演練、組成跨職能團隊、共用專案管理資源以及共用指標。
3. 採取最佳做法。
許多大型企業都有標準建置做法、程式碼標準和審查流程。安全人員應熟悉這些標準和做法,並在較大團隊的框架內工作。
4. 確保安全��工具適用於現代化應用程式。
工具應適用於新應用程式的平台。理想情況下,工具不應僅止於提供與舊有控制措施相當的功能,而應能改善安全狀態。
5. 在應用程式上線前測試控制措施。
在應用程式上線前,利用實戰或模擬滲透測試和紅隊演練工具來測試控制措施。AI 驅動的編碼工具有助於防止程式碼庫中的漏洞,組態管理工具則能確保標準設定落實到位。但在部署到生產環境之前,沒有什麼比實戰演練更能確認您的控制措施能如預期般運作。
確保安全性不是事後補救
將安全性視為核心設計原則的組織,不僅能降低風險,還能加快創新腳步、部署 AI 能力,並在日益複雜的威脅環境中維持利害關係人的信任。在現代化旅程中,安全的重要性太高,絕不能淪為事後補救的環節。
Cloudflare 可以透過實施「安全納入設計」原則,協助您的組織將應用程式現代化與安全相結合。透過 Cloudflare,應用程式的開發、交付與安全功能皆整合於單一平台,讓您能建立 DevSecOps 模式,在控制風險的同時加速創新。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《2026 年 Cloudflare 應用程式創新報告》,深入瞭解應用程式現代化的價值,並探索領先組織如何持續取得成功。
作者
Liz Morton — @liz-morton-543b014
Cloudflare 現場資安長
重點
閱讀本文後,您將能夠瞭解:
孤島是影響現代化速度的最大風險
為什麼安全性與創新密不可分
實施安全納入設計的五大策略支柱