Security risk in legacy system

From LemonWiki共筆
Jump to navigation Jump to search

案例狀況: 公司網站使用到開放原始碼專案的兩個套件,但是都發生資安漏洞。但是不確定更新套件後,是否會影響公司網站運作。

建議處理方式:

短期處理策略[edit]

建立自由軟體資訊清單 除了著作權議題,同時確認 legacy system 程度

建立功能測試文件、評估可接受的服務中斷與資料遺失時間

  • 不確定是否影響公司網站,代表自行撰寫的功能模組或使用專案套件缺乏單元測試。建議先盤點公司網站功能,以及對應需要進行的功能測試,先寫成測試文件。例如:網站會員註冊功能模組,需要 (1) 訪客填寫表單時的檢查資料、 (2) Email 驗證、(3) 開通帳號的功能測試步驟等等。
    • 短期先進行人工測試。
  • 評估可接受的服務中斷與資料遺失時間: 當資安入侵造成服務中斷、資料遺失,如果目前備份週期是每週一次,而容許的資料遺失時間其實比工程師想像的更短。代表需要投入人力與金錢資源改善流程。請與老闆討論確認。
    • 如果資料包含個資,需要進行個資盤點[1]
    • 實際演練「緊急應變計畫」,確認現有應變計畫,是否滿足在服務中斷與資料遺失狀況下,可以在規劃的時間內恢復服務上線、還原資料?

如果測試版的公司網站不能正常運作

額外建立測試環境,升級已經修復資安漏洞的開放原始碼套件版本,檢查與公司網站是否正常運作。如果測試環境的公司網站不能正常運作的方案

  • 如果必須公司網站維持上線: 一種方案是增購「網頁應用程式防火牆」(WAF),可以先檔一段時間 $
  • 盤點公司網站功能模組,不能正常運作的網站功能是否是 (1) 可以完全下線、(2)改用相同功能的別的模組上線

長期處理策略[edit]

  • 根據規格文件,撰寫測試與調整測試方式。改善公司軟體開發方式。
  • 根據「自由軟體資訊清單」訂閱相關專案的論壇或電子報,例如 Laravel Newsletter ,留意版本更新與資安通告方面的訊息。
  • 例行進行資安掃描 資訊系統安全性漏洞的檢測工具

參考資料[edit]

相關資料