資安的堅持與不堅持，你的選擇!

2015 / 11 / 18

編輯部

SQL Injection 又不是新的議題，但每次做完源碼檢測，同樣的問題又會再次出現，只是換不同的應用系統平台與程式。找應用系統負責人來溝通、找廠商來改程式，就這樣重複的戲碼不斷的上演著。能改的程式還算是小議題，有些委外廠商就和你哭窮，說合約上又沒有要求，改這些程式需要花多少時間，他們都要自行吸收。有的應用系統負責人看上去很配合，有列出來的就有改，但沒列出來的對不起，那就不是他的事了。以後的程式還是照原先的寫法再寫，等你找到再說。這樣每次都是頭痛醫頭，根本沒辦法徹底解決。再加上最近又有作業系統更新的議題，需要同時更新應用系統程式。想一想需要對程式開發的流程做個調整，就找了一天約應用系統負責人開會討論。

不知是不是會議通知沒有說明清楚，大家進到會議室都姍姍來遲，要不然就是找了幾位新進的同仁進來簽名，還有幾個同仁根本就忙著在打怪，好像如何過關才是他所在意的。簡單的說明了這次的會議目的，馬上就有同仁站起來發難。

「那個資安檢測的工具有沒有問題啊，以前不是都有發生程式誤判的情形。」
「我們只能就工具檢測出來的結果告知各位，如果大家確認程式撰寫沒有錯誤，那就申請確認是不是有誤判的情形，如果是誤判那我們就把這條取消不再追蹤。」
「這樣很麻煩耶，為什麼不能先確認工具有沒有問題再來檢測，不然還要浪費我們的時間。」
「工具也不是我們開發的，而且這種誤判的比率也不是很高，不好意思只能請大家要協助配合一下。」
「那你們現在程式要修改的標準呢?程式那麼多，我們根本改不完，你知不知道業務單位又要求我們要提前上線，程式都已經寫不完了，還來改這些程式?」
「我們目前是只有針對檢測出來是高風險的項目才要修改，中低風險的目前還沒有要修正。」
「那你們檢測出來的高風險項目和我們做ISO那個風險一不一樣啊?都是同樣的東西，幹什麼要那麼多風險項目?」
「這兩個項目應該是完全不同的，源碼檢測列出來高風險的項目，應該是駭客容易進行程式修改攻擊的地方，我們做ISO是我們覺得就整個管理面上風險高項目。」
「那應該以我們為主啊，既然檢測工具也可能有錯誤，工具又不瞭解我們內部作業，你要不要先把檢測的結果給我們，我們看看有那些高風險項目可以調降成中風險的，那剩下的我們再來改這樣就好了，我看今天的會議也不會有結果，還是改一天我們討論一下那一些可以降風險的，這樣比較實在。」

我真的不敢想像，還可以自行決定調整風險高低的，擺明一句話就是不想改程式，然後就是資安人員在找麻煩，只是我不知道，一但公司的名字出現在駭客入侵的網站上，這些人是不是又說為什麼當初資安不堅持要做?

資安、源碼檢測