最近公司要做源碼檢測,有一個很大的網站專案要做資安稽核,並且公司要求用SonarQube掃描出來的中高風險都要修正,這個案子6個人開發,網站很大功能很多,一開始也都沒做這方面的規劃,這樣會不會需要花超久時間才能通過稽核?這是台北市的網站專案,我擔心掃描出來的中高風險解決的還是無法通過稽核,搞不好還要人工檢測,因為過去我也沒有這些經驗,所以不知道到底會有多嚴格,當然我這樣描述也很難預估要多久才能通過稽核,有經驗的人可以大概跟我講這種稽核會有多嚴格嗎?
已邀請的邦友 {{ invite_list.length }}/5
認真來說,這並沒有所謂的嚴不嚴格。只有允不允許。
這得看你們專案在開發期間,其工程師的功力,是否平常就有注意相關資安的處理。
改是一定要改的。
正常來說,高風險是一定要處理的。
中風險則是可以看情況來決定處理不處理。
當然,有些公司好溝通。有些則是要求中高風險都要處理。
比較常見的像是CSP問題,它是屬於中風險。
但有時碰到客戶會有外連其它網址圖片的情況時。CSP的規範會變成一種限制很難處理。
就會忽略不處理。
我有一個function的名稱取名叫做插入資料庫(英文),結果資安檢測說這個名字會讓駭客了解其用意,我就改成xMvhPAzb,然後通過資安檢測了,但是我被同事罵:取這甚麼鬼名子,到底會不會寫程式!
然後我覺得會很耗時,主要都是耗時在人的因素...
我覺得這要回歸到整體的管控機制來看
一般都會要求修高風險、中風險,能修就修(?
如果真的有無法快點修的情況,要看看你們能否允許這種情況發生且有沒有後續的追蹤和控管措施
iThome鐵人賽
看影片追技術