Security risk in legacy system
Jump to navigation
Jump to search
案例狀況: 公司網站使用到開放原始碼專案的兩個套件,但是都發生資安漏洞。但是不確定更新套件後,是否會影響公司網站運作。
建議處理方式:
短期處理策略[edit]
建立自由軟體資訊清單 除了著作權議題,同時確認 legacy system 程度
- 盤點公司網站使用到哪些開放原始碼專案、版本、授權方案?哪些功能模組是公司自行撰寫的?
- 自由軟體資訊清單 文件範本 example: Third-Party Software Used by PhpStorm
- 相關資料: 善用自由軟體資訊清單有效降低法律糾紛的風險 - OpenFoundry
建立功能測試文件、評估可接受的服務中斷與資料遺失時間
- 不確定是否影響公司網站,代表自行撰寫的功能模組或使用專案套件缺乏單元測試。建議先盤點公司網站功能,以及對應需要進行的功能測試,先寫成測試文件。例如:網站會員註冊功能模組,需要 (1) 訪客填寫表單時的檢查資料、 (2) Email 驗證、(3) 開通帳號的功能測試步驟等等。
- 短期先進行人工測試。
- 評估可接受的服務中斷與資料遺失時間: 當資安入侵造成服務中斷、資料遺失,如果目前備份週期是每週一次,而容許的資料遺失時間其實比工程師想像的更短。代表需要投入人力與金錢資源改善流程。請與老闆討論確認。
- 如果資料包含個資,需要進行個資盤點[1]。
- 實際演練「緊急應變計畫」,確認現有應變計畫,是否滿足在服務中斷與資料遺失狀況下,可以在規劃的時間內恢復服務上線、還原資料?
如果測試版的公司網站不能正常運作
額外建立測試環境,升級已經修復資安漏洞的開放原始碼套件版本,檢查與公司網站是否正常運作。如果測試環境的公司網站不能正常運作的方案
- 如果必須公司網站維持上線: 一種方案是增購「網頁應用程式防火牆」(WAF),可以先檔一段時間 $
- 盤點公司網站功能模組,不能正常運作的網站功能是否是 (1) 可以完全下線、(2)改用相同功能的別的模組上線
長期處理策略[edit]
- 根據規格文件,撰寫測試與調整測試方式。改善公司軟體開發方式。
- 根據「自由軟體資訊清單」訂閱相關專案的論壇或電子報,例如 Laravel Newsletter ,留意版本更新與資安通告方面的訊息。
- 例行進行資安掃描 資訊系統安全性漏洞的檢測工具
參考資料[edit]
相關資料