歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
資安的堅持與不堅持,你的選擇!
2015 / 11 / 18
編輯部
SQL Injection 又不是新的議題,但每次做完源碼檢測,同樣的問題又會再次出現,只是換不同的應用系統平台與程式。找應用系統負責人來溝通、找廠商來改程式,就這樣重複的戲碼不斷的上演著。能改的程式還算是小議題,有些委外廠商就和你哭窮,說合約上又沒有要求,改這些程式需要花多少時間,他們都要自行吸收。有的應用系統負責人看上去很配合,有列出來的就有改,但沒列出來的對不起,那就不是他的事了。以後的程式還是照原先的寫法再寫,等你找到再說。這樣每次都是頭痛醫頭,根本沒辦法徹底解決。再加上最近又有作業系統更新的議題,需要同時更新應用系統程式。想一想需要對程式開發的流程做個調整,就找了一天約應用系統負責人開會討論。
不知是不是會議通知沒有說明清楚,大家進到會議室都姍姍來遲,要不然就是找了幾位新進的同仁進來簽名,還有幾個同仁根本就忙著在打怪,好像如何過關才是他所在意的。簡單的說明了這次的會議目的,馬上就有同仁站起來發難。
「那個資安檢測的工具有沒有問題啊,以前不是都有發生程式誤判的情形。」
「我們只能就工具檢測出來的結果告知各位,如果大家確認程式撰寫沒有錯誤,那就申請確認是不是有誤判的情形,如果是誤判那我們就把這條取消不再追蹤。」
「這樣很麻煩耶,為什麼不能先確認工具有沒有問題再來檢測,不然還要浪費我們的時間。」
「工具也不是我們開發的,而且這種誤判的比率也不是很高,不好意思只能請大家要協助配合一下。」
「那你們現在程式要修改的標準呢?程式那麼多,我們根本改不完,你知不知道業務單位又要求我們要提前上線,程式都已經寫不完了,還來改這些程式?」
「我們目前是只有針對檢測出來是高風險的項目才要修改,中低風險的目前還沒有要修正。」
「那你們檢測出來的高風險項目和我們做ISO那個風險一不一樣啊?都是同樣的東西,幹什麼要那麼多風險項目?」
「這兩個項目應該是完全不同的,源碼檢測列出來高風險的項目,應該是駭客容易進行程式修改攻擊的地方,我們做ISO是我們覺得就整個管理面上風險高項目。」
「那應該以我們為主啊,既然檢測工具也可能有錯誤,工具又不瞭解我們內部作業,你要不要先把檢測的結果給我們,我們看看有那些高風險項目可以調降成中風險的,那剩下的我們再來改這樣就好了,我看今天的會議也不會有結果,還是改一天我們討論一下那一些可以降風險的,這樣比較實在。」
我真的不敢想像,還可以自行決定調整風險高低的,擺明一句話就是不想改程式,然後就是資安人員在找麻煩,只是我不知道,一但公司的名字出現在駭客入侵的網站上,這些人是不是又說為什麼當初資安不堅持要做?
資安、源碼檢測
最新活動
2025.06.18
資安人講堂:四大面向打造「無邊界・零信任」極致安全架構
2025.05.28
資安事件分析與惡意封包分析
2025.05.29
『ColorTokens 網路微分段平台』與『Silverfort 身分安全平台』網路研討會
2025.06.07
踏入資安界的第一步! 資安人才培育計畫:【資安顧問師】與【資安維運工程師】熱烈招生中
2025.06.08
【三天密集培訓】iPAS 資訊安全工程師中級證照培訓班
2025.06.10
06.10「如何精準配置企業資安預算」
2025.06.12
6/12-6/13 開源授權管理與 .NET/Java 安全程式開發課程
2025.06.17
打造未來資安:從零信任到雲骨幹的全方位企業防禦實戰
看更多活動
大家都在看
美國CISA警告:Chrome高危險漏洞CVE-2025-4664已遭攻擊利用
立院初審 關鍵基礎設施未通報資安事件最高罰千萬
資安署25年4月資安月報:資訊蒐集類威脅居首 PIF惡意附件攻擊興起
三星數位顯示器軟體爆9.8分漏洞已遭駭客攻擊
資料外洩的持續性難題:為何暴露的憑證未修復及改善方法
資安人科技網
文章推薦
HiTRUST 以 Veri-id 勇奪 2025 智慧創新大賞金牌
聯合國裁軍研究所開發能夠分析資安威脅活動的入侵路徑的新框架
立院初審 關鍵基礎設施未通報資安事件最高罰千萬