觀點

資安的堅持與不堅持,你的選擇!

2015 / 11 / 18
編輯部
資安的堅持與不堅持,你的選擇!
SQL Injection 又不是新的議題,但每次做完源碼檢測,同樣的問題又會再次出現,只是換不同的應用系統平台與程式。找應用系統負責人來溝通、找廠商來改程式,就這樣重複的戲碼不斷的上演著。能改的程式還算是小議題,有些委外廠商就和你哭窮,說合約上又沒有要求,改這些程式需要花多少時間,他們都要自行吸收。有的應用系統負責人看上去很配合,有列出來的就有改,但沒列出來的對不起,那就不是他的事了。以後的程式還是照原先的寫法再寫,等你找到再說。這樣每次都是頭痛醫頭,根本沒辦法徹底解決。再加上最近又有作業系統更新的議題,需要同時更新應用系統程式。想一想需要對程式開發的流程做個調整,就找了一天約應用系統負責人開會討論。

不知是不是會議通知沒有說明清楚,大家進到會議室都姍姍來遲,要不然就是找了幾位新進的同仁進來簽名,還有幾個同仁根本就忙著在打怪,好像如何過關才是他所在意的。簡單的說明了這次的會議目的,馬上就有同仁站起來發難。

「那個資安檢測的工具有沒有問題啊,以前不是都有發生程式誤判的情形。」
「我們只能就工具檢測出來的結果告知各位,如果大家確認程式撰寫沒有錯誤,那就申請確認是不是有誤判的情形,如果是誤判那我們就把這條取消不再追蹤。」
「這樣很麻煩耶,為什麼不能先確認工具有沒有問題再來檢測,不然還要浪費我們的時間。」
「工具也不是我們開發的,而且這種誤判的比率也不是很高,不好意思只能請大家要協助配合一下。」
「那你們現在程式要修改的標準呢?程式那麼多,我們根本改不完,你知不知道業務單位又要求我們要提前上線,程式都已經寫不完了,還來改這些程式?」
「我們目前是只有針對檢測出來是高風險的項目才要修改,中低風險的目前還沒有要修正。」
「那你們檢測出來的高風險項目和我們做ISO那個風險一不一樣啊?都是同樣的東西,幹什麼要那麼多風險項目?」
「這兩個項目應該是完全不同的,源碼檢測列出來高風險的項目,應該是駭客容易進行程式修改攻擊的地方,我們做ISO是我們覺得就整個管理面上風險高項目。」
「那應該以我們為主啊,既然檢測工具也可能有錯誤,工具又不瞭解我們內部作業,你要不要先把檢測的結果給我們,我們看看有那些高風險項目可以調降成中風險的,那剩下的我們再來改這樣就好了,我看今天的會議也不會有結果,還是改一天我們討論一下那一些可以降風險的,這樣比較實在。」

我真的不敢想像,還可以自行決定調整風險高低的,擺明一句話就是不想改程式,然後就是資安人員在找麻煩,只是我不知道,一但公司的名字出現在駭客入侵的網站上,這些人是不是又說為什麼當初資安不堅持要做?