遊戲開發中的安全挑戰：從產業視角看安全議題

遊戲產業是一個價值數十億美元且不斷變化的市場。CISPA研究員Philip Klostermeyer在與產業專家的質性訪談研究中，探討了將安全考量納入遊戲開發的挑戰。這項研究結果發表於2024年10月在鹽湖城舉行的計算機與通訊安全會議（CCS）上，題為《跳過安全支線任務：遊戲開發中的安全實踐與挑戰之質性研究》。

Klostermeyer是CISPA漢諾威分部的博士生，長期以來對遊戲充滿興趣，不僅僅是作為玩家。他在訪談中提到：「我在學士學位期間曾開發過一款遊戲，那是我第一次意識到即使是簡單的遊戲也包含許多不同的元素。我突然理解了各種軟體如何協同工作。」他解釋道，從本質上來說，遊戲就是非常複雜的軟體，包含背景中的原始碼和資料，以及使用者介面上的圖形設計和音效等元素，並由遊戲邏輯加以補充。對於線上遊戲，還需要連線到伺服器來處理遊戲邏輯、管理登入和驗證等常見安全問題，並顯示廣告。這表明幾乎所有電腦安全的重要議題都與遊戲相關。

遊戲開發的複雜性以及安全的重要性，使得這成為Klostermeyer及其同事感興趣的研究主題。他表示：「我們決定透過質性訪談研究來探討遊戲開發中的安全議題。這種方法非常適合獲取對某個主題領域的整體概覽，因為已有大量研究深入探討了遊戲產業中的個別議題，但缺乏對整個領域的連貫性綜述。」此外，Klostermeyer強調，他們的研究目標是將洞察轉化為產業的實際應用，因此特別關注該目標群體面臨的挑戰。

在這項研究中，來自15個國家的20位受訪者參與了訪談，他們在遊戲產業中擔任不同的職位。Klostermeyer解釋：「我們識別了遊戲開發中的關鍵利益相關者，並精心挑選了受訪者，包括遊戲開發者、管理人員、平臺發行商以及安全專家。我們的目標是獲取關於安全議題的多種觀點，並透過訪談收集產業內對安全意識、優先順序、知識和實踐的第一手經驗。」

分析訪談內容後，CISPA研究人員提煉出兩個與遊戲開發安全相關的核心領域。首先是影響遊戲開發及安全的產業獨特環境。Klostermeyer指出：「例如產業的快速變遷、不同的安全標準、時間和預算限制，以及缺乏安全諮詢等。」另一方面，研究人員識別了遊戲開發過程中的五個安全相關領域，包括防止遊戲內作弊、原始碼或圖形等資產的安全性、網路安全、軟體穩定性以及使用者資料保護。Klostermeyer補充：「每個領域的重要性取決於遊戲型別，例如，網路安全對於非線上遊戲的影響較小。」

在遊戲工作室是否以及如何將安全整合到開發過程中的問題上，研究發現時間、預算和團隊規模是最重要的因素。雖然外部玩家如發行商會提供安全相關的建議，但他們主要將安全視為保護公司收入或公眾形象的手段。大型公司通常會招募自己的安全專家，而小型工作室則往往缺乏預算。即使開發者意識到安全問題，管理層也可能將其優先順序置於遊戲可玩性等議題之下。Klostermeyer總結：「基本上，遊戲產業在安全方面非常不穩定。產業的快速步調使得開發者難以採取深入的安全措施，並從遊戲開發初期就制定威脅模型。」

對於Klostermeyer及其在漢諾威的「可用性安全」研究團隊來說，這項訪談研究只是深入探討該主題的起點。他表示：「這項研究的優勢在於，我們能夠識別遊戲開發過程中的五個安全相關領域。基於這些知識，我們可以開始制定指導方針的建議。」此外，Klostermeyer還從研究結果中得出了一些具體的產業建議，關鍵在於盡早將安全考量整合到遊戲開發中，並在每個層面加以考慮。他強調：「每個開發工作室都應根據自身需求制定指導方針，並將其應用於產品中。這是一項至關重要的跨領域任務，每個工作室都應認真對待。」