Security risk in legacy system

From LemonWiki共筆

Jump to navigation Jump to search

案例狀況: 公司網站使用到開放原始碼專案的兩個套件，但是都發生資安漏洞。但是不確定更新套件後，是否會影響公司網站運作。

建議處理方式:

短期處理策略[edit]

建立自由軟體資訊清單 除了著作權議題，同時確認 legacy system 程度

盤點公司網站使用到哪些開放原始碼專案、版本、授權方案？哪些功能模組是公司自行撰寫的？
自由軟體資訊清單文件範本 example: Third-Party Software Used by PhpStorm
相關資料: 善用自由軟體資訊清單有效降低法律糾紛的風險 - OpenFoundry

建立功能測試文件、評估可接受的服務中斷與資料遺失時間

不確定是否影響公司網站，代表自行撰寫的功能模組或使用專案套件缺乏單元測試。建議先盤點公司網站功能，以及對應需要進行的功能測試，先寫成測試文件。例如：網站會員註冊功能模組，需要 (1) 訪客填寫表單時的檢查資料、 (2) Email 驗證、(3) 開通帳號的功能測試步驟等等。
- 短期先進行人工測試。
評估可接受的服務中斷與資料遺失時間: 當資安入侵造成服務中斷、資料遺失，如果目前備份週期是每週一次，而容許的資料遺失時間其實比工程師想像的更短。代表需要投入人力與金錢資源改善流程。請與老闆討論確認。
- 如果資料包含個資，需要進行個資盤點^[1]。
- 實際演練「緊急應變計畫」，確認現有應變計畫，是否滿足在服務中斷與資料遺失狀況下，可以在規劃的時間內恢復服務上線、還原資料？

如果測試版的公司網站不能正常運作

額外建立測試環境，升級已經修復資安漏洞的開放原始碼套件版本，檢查與公司網站是否正常運作。如果測試環境的公司網站不能正常運作的方案

如果必須公司網站維持上線: 一種方案是增購「網頁應用程式防火牆」（WAF），可以先檔一段時間 $
盤點公司網站功能模組，不能正常運作的網站功能是否是 (1) 可以完全下線、(2)改用相同功能的別的模組上線

長期處理策略[edit]

根據規格文件，撰寫測試與調整測試方式。改善公司軟體開發方式。
根據「自由軟體資訊清單」訂閱相關專案的論壇或電子報，例如 Laravel Newsletter ，留意版本更新與資安通告方面的訊息。
例行進行資安掃描資訊系統安全性漏洞的檢測工具

參考資料[edit]

↑ 個資盤點的3大原則 | iThome

相關資料

Retrieved from "https://wiki.planetoid.info/index.php?title=Security_risk_in_legacy_system&oldid=20454"