Security risk in legacy system

建立自由軟體資訊清單 除了著作權議題，同時確認 legacy system 程度

• 盤點公司網站使用到哪些開放原始碼專案、版本、授權方案？哪些功能模組是公司自行撰寫的？
• 自由軟體資訊清單 文件範本 example: Third-Party Software Used by PhpStorm
• 相關資料: 善用自由軟體資訊清單有效降低法律糾紛的風險 - OpenFoundry

建立功能測試文件、評估可接受的服務中斷與資料遺失時間

• 不確定是否影響公司網站，代表自行撰寫的功能模組或使用專案套件缺乏單元測試。建議先盤點公司網站功能，以及對應需要進行的功能測試，先寫成測試文件。例如：網站會員註冊功能模組，需要 (1) 訪客填寫表單時的檢查資料、 (2) Email 驗證、(3) 開通帳號的功能測試步驟等等。
  • 短期先進行人工測試。
• 評估可接受的服務中斷與資料遺失時間: 當資安入侵造成服務中斷、資料遺失，如果目前備份週期是每週一次，而容許的資料遺失時間其實比工程師想像的更短。代表需要投入人力與金錢資源改善流程。請與老闆討論確認。
  • 如果資料包含個資，需要進行個資盤點^[1]。
  • 實際演練「緊急應變計畫」，確認現有應變計畫，是否滿足在服務中斷與資料遺失狀況下，可以在規劃的時間內恢復服務上線、還原資料？

如果測試版的公司網站不能正常運作

額外建立測試環境，升級已經修復資安漏洞的開放原始碼套件版本，檢查與公司網站是否正常運作。如果測試環境的公司網站不能正常運作的方案

• 如果必須公司網站維持上線: 一種方案是增購「網頁應用程式防火牆」（WAF），可以先檔一段時間 $
• 盤點公司網站功能模組，不能正常運作的網站功能是否是 (1) 可以完全下線、(2)改用相同功能的別的模組上線

• 根據規格文件，撰寫測試與調整測試方式。改善公司軟體開發方式。
• 根據「自由軟體資訊清單」訂閱相關專案的論壇或電子報，例如 Laravel Newsletter ，留意版本更新與資安通告方面的訊息。
• 例行進行資安掃描 資訊系統安全性漏洞的檢測工具

相關資料

• 新版OWASP十大網站安全風險排名出爐，微服務風潮帶來三大新安全風險 | iThome
• 如何選擇開放原始碼、自由軟體的軟體方案