Software aziendale in cui le versioni successive presentano una vulnerabilità di sicurezza

2

Scenario: ti viene presentato un CVN che specifica che una parte del software comune che viene eseguita con privilegi di root presenta una vulnerabilità che consente a un utente non privilegiato di creare o sovrascrivere qualsiasi file, inclusi i file di proprietà di root.

Dopo un'ulteriore lettura si scopre che la vulnerabilità riguarda solo la v1.6 e la v1.7. Il bug è corretto in v1.8 e il software più recente è v1.9

Tuttavia, si scopre che la versione che si sta utilizzando su Enterprise è v1.2 che non è affatto interessata da questa vulnerabilità.

La mia domanda è questa:

È consigliabile eseguire l'upgrade a una versione oltre a quelle versioni che contengono la vulnerabilità, anche se la versione che stai utilizzando non è influenzata?

Posso prevedere che potrebbero esserci diversi punti di vista.

Da un lato, rimanendo in una versione precedente alle versioni vulnerabili, è possibile che il software sia aggiornato a una versione che contiene vulnerabilità a causa di un errore umano. Diciamo che qualcuno che si occupa della confezione non rileva questo problema.

D'altra parte, si può dire che dobbiamo fidarci dei processi e delle procedure che dovrebbero prevenire tale errore umano.

Forse la risposta a una gran parte dipende dall'appetito, dalla valutazione o dal rischio. Mi piacerebbe davvero condensare questo in una dichiarazione di buona pratica priva di credenza soggettiva.

    
posta Peter Rhodes 03.12.2017 - 19:56
fonte

1 risposta

1

Sembra che le valutazioni del rischio possano essere prive di convinzioni soggettive.

La risposta è per condurre una valutazione del rischio sulla base di tutti i fattori coinvolti e dei fattori inferire che sono importanti per la valutazione del rischio. Non c'è modo di evitare il credo soggettivo. E non esiste una "best practice" in merito a quando aggiornare quando non ci sono vulnerabilità nella versione attuale.

Ogni software è unico e inoltre ogni aggiornamento di ogni software è unico. Non è possibile fare un'analisi quantitativa sulla probabilità di futuri bug basati su bug precedenti o sulla base dei bug sperimentati da programmi simili, per i motivi che hai menzionato:

  1. un aggiornamento può fondamentalmente risolvere una funzione errata che riduce la probabilità di problemi futuri
  2. ogni aggiornamento può introdurre nuovi bug

Sì, puoi dedurre alcuni fattori rilevanti basati sugli aggiornamenti, su cosa è stato corretto e su altri fattori ambientali, ma ciò può richiedere che si facciano molte ipotesi. Può essere meglio rivedere e testare il codice da soli, se possibile, ma è necessario anche che ci si fidi della procedura di test. (Se i processi di test fossero una misura completa e obiettiva, il software non avrebbe alcun bug, per cominciare)

Ciò significa che inferenza , esperienza e parere di esperti sono tutti fattori importanti nel prendere la decisione di aggiornare da una versione all'altra ( e in tutte le valutazioni del rischio).

Pertanto, la migliore pratica consiste nell'eseguire una valutazione del rischio che includa le convinzioni soggettive degli esperti le cui opinioni sono importanti e i processi di cui ti fidi.

    
risposta data 03.12.2017 - 20:19
fonte

Leggi altre domande sui tag