Sono uno sviluppatore senior che gestisce un'applicazione web SAAS FinTech. L'applicazione web è attualmente in esecuzione su Fat Free Framework su PHP 5.4 su uno stack LAMP. Mi è stato comunicato che non è stato aggiornato perché l'aggiornamento a 5.6 causerebbe problemi con il nostro plugin di autenticazione (BCRYPT).
Sono consapevole che il PHP 5.4 ha raggiunto il suo EOL il 3 settembre 2015 che includeva la fine del supporto per la sicurezza. Allo stesso modo, sono consapevole che PHP 5.6 raggiungerà il suo EOL Dic 2018 e perderà anche il suo supporto di sicurezza. Abbiamo anche recentemente completato una verifica della sicurezza delle applicazioni Web con un appaltatore di terze parti. Stranamente questa informazione riguardante le versioni di PHP non è stata inclusa nella bozza di rapporto - cosa che mi aspettavo di vedere. Intendo portarlo con loro dopo il giorno dei presidenti.
Per essere chiari. Ho sollevato l'EOL 5.6 al mio CTO, ma non ho ancora sollevato il problema 5.4 EOL (ne parleremo più avanti). Inizialmente non ne ero a conoscenza finché non l'ho controllato espressamente in seguito alla sua omissione nel progetto di relazione. Ho raccomandato di eseguire l'aggiornamento da PHP 5.x a causa dei rischi per la sicurezza coinvolti; tuttavia, il mio CTO ha respinto questo tre volte: apparentemente perché ci vorrebbero lunghe e / o dare priorità alle nuove funzionalità promesse ai clienti.
Intendo portare a termine la quarta e ultima volta, ma desidero farlo armati di informazioni tangibili sui rischi coinvolti. Le risposte alla mia domanda di seguito saranno incluse così come i punti sollevati quando discuterò con il mio auditor di sicurezza.
Quindi rispetto a risk management
quali sono i distinti rischi di continuare a supportare questa applicazione con PHP 5.4 e / o PHP 5.6?
Nota: sono consapevole che si tratta di un rischio per la sicurezza, ma non so esattamente perché. Sono uno sviluppatore non uno specialista della sicurezza. Come tale, apprezzerei molto le risposte dettagliate. Sarebbe inoltre apprezzata l'inclusione di exploit non patinati noti che influenzano FFF o PHP 5.4. Se c'è un sito web che fornisce tali informazioni ancora meglio.