Editing
Security risk in legacy system
Jump to navigation
Jump to search
Warning:
You are not logged in. Your IP address will be publicly visible if you make any edits. If you
log in
or
create an account
, your edits will be attributed to your username, along with other benefits.
Anti-spam check. Do
not
fill this in!
案例狀況: 公司網站使用到開放原始碼專案的兩個套件,但是都發生資安漏洞。但是不確定更新套件後,是否會影響公司網站運作。 建議處理方式: == 短期處理策略 == '''建立自由軟體資訊清單''' 除了著作權議題,同時確認 legacy system 程度 * 盤點公司網站使用到哪些開放原始碼專案、版本、授權方案?哪些功能模組是公司自行撰寫的? * [https://docs.google.com/spreadsheets/d/1UarMQhYT4E0e_6dFCNGaw2_TNU2v83heZa2USneo5YQ/edit?usp=sharing 自由軟體資訊清單 文件範本] example: [http://confluence.jetbrains.com/display/PhpStorm/Third-Party+Software+Used+by+PhpStorm Third-Party Software Used by PhpStorm] * 相關資料: [http://www.openfoundry.org/tw/legal-column-list/8397-2011-07-22-09-56-32 善用自由軟體資訊清單有效降低法律糾紛的風險 - OpenFoundry] '''建立功能測試文件、評估可接受的服務中斷與資料遺失時間''' * 不確定是否影響公司網站,代表自行撰寫的功能模組或使用專案套件缺乏單元測試。建議先盤點公司網站功能,以及對應需要進行的功能測試,先寫成測試文件。例如:網站會員註冊功能模組,需要 (1) 訪客填寫表單時的檢查資料、 (2) Email 驗證、(3) 開通帳號的功能測試步驟等等。 ** 短期先進行人工測試。 * 評估可接受的服務中斷與資料遺失時間: 當資安入侵造成服務中斷、資料遺失,如果目前備份週期是每週一次,而容許的資料遺失時間其實比工程師想像的更短。代表需要投入人力與金錢資源改善流程。請與老闆討論確認。 ** 如果資料包含個資,需要進行個資盤點<ref>[https://www.ithome.com.tw/news/88871 個資盤點的3大原則 | iThome]</ref>。 ** 實際演練「緊急應變計畫」,確認現有應變計畫,是否滿足在服務中斷與資料遺失狀況下,可以在規劃的時間內恢復服務上線、還原資料? '''如果測試版的公司網站不能正常運作''' 額外建立測試環境,升級已經修復資安漏洞的開放原始碼套件版本,檢查與公司網站是否正常運作。如果測試環境的公司網站不能正常運作的方案 * 如果必須公司網站維持上線: 一種方案是增購「[https://en.wikipedia.org/wiki/Web_application_firewall 網頁應用程式防火牆]」({{Acronym| def=網頁應用程式防火牆(Web application firewall) | acronym = WAF}}),可以先檔一段時間 ''$'' * 盤點公司網站功能模組,不能正常運作的網站功能是否是 (1) 可以完全下線、(2)改用相同功能的別的模組上線 == 長期處理策略 == * 根據規格文件,撰寫測試與調整測試方式。改善公司軟體開發方式。 * 根據「自由軟體資訊清單」訂閱相關專案的論壇或電子報,例如 [https://laravel-news.com/newsletter Laravel Newsletter] ,留意版本更新與資安通告方面的訊息。 * 例行進行資安掃描 [[Vulnerability scanning tools | 資訊系統安全性漏洞的檢測工具]] == 參考資料 == <references /> 相關資料 * [https://www.ithome.com.tw/news/118411 新版OWASP十大網站安全風險排名出爐,微服務風潮帶來三大新安全風險 | iThome] * [[How to choose open source solution | 如何選擇開放原始碼、自由軟體的軟體方案]] [[Category:Security]] [[Category:Programming]]
Summary:
Please note that all contributions to LemonWiki共筆 are considered to be released under the Creative Commons Attribution-NonCommercial-ShareAlike (see
LemonWiki:Copyrights
for details). If you do not want your writing to be edited mercilessly and redistributed at will, then do not submit it here.
You are also promising us that you wrote this yourself, or copied it from a public domain or similar free resource.
Do not submit copyrighted work without permission!
Cancel
Editing help
(opens in new window)
Template used on this page:
Template:Acronym
(
edit
)
Navigation menu
Personal tools
Not logged in
Talk
Contributions
Log in
Namespaces
Page
Discussion
English
Views
Read
Edit
View history
More
Search
Navigation
Main page
Current events
Recent changes
Random page
Help
Categories
Tools
What links here
Related changes
Special pages
Page information