H1Day22：風險識別、評估和處理（續4）

一般而言，在確定組織的資訊資產所面臨的風險和風險容忍度後，會有四種風險處理 （Risk Treatment）方案：

1. 接受風險（Accept）：不採取任何行動來降低風險發生的可能性。例如一家巴西非營利組織的網站，還在使用不安全http（80 Port），而該公司決定不使用https（Port 443），冒著讓網站使用者採取明文方式傳輸資料而不採取行動。
2. 規避風險(Avoid)：規避風險是指嘗試完全消除風險的決定。例如公司的自建網站會有被駭客入侵的風險，而公司選擇用Google Blogger或Wix等大型部落格廠商的解決方案來製作公司網站，全然不使用自有伺服器，就是一種規避風險的情形。
3. 降低（緩解）風險（Reduce）：風險緩解是最常見的風險管理類型，包括採取措施預防或降低風險事件發生的可能性或其影響。比方最近php套件被發現有漏洞，但是使用Xampp等開源套件的使用者，Xampp官方還沒有發布新版的修正漏洞後軟體供安裝，於是資安人員報請主管同意，先記錄下此高風險漏洞，並且先調整嚴格的防火牆政策或修改設定檔。

受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP作為便於開發者整合、使用的軟體安裝包，是在 Windows 作業系統上使用 PHP 的主要解決方案之一，由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔，使用者如確認自身未使用 PHP CGI 功能，仍可修改 Apache Httpd 設定檔，以避免暴露在弱點中。