您是否看到 Optimizely 发来的最新警告,要求您使用严重安全警告来更新此软件包?
不?
根据 OWASP
更为严重的是,黑客经常可以扫描网站是否存在这些漏洞,并且经常利用这些漏洞来危害网站。
幸运的是,保持网站更新的工具已经存在,但通常缺乏流程,必须与利益相关者达成一致才能获得资金。利益相关者和产品所有者通常专注于新功能,如果性能和安全等非功能性要求不属于开发过程的一部分,则很容易落后于这些要求。一种方法是设置一个固定值,例如将 25% 的开发时间分配给这些领域,并让开发团队和技术主管建议这些领域的最佳性价比。
对于普通的 Optimizely 网站,我建议采用更结构化的方法来保护第三方软件包并将其集成到您的开发过程中:
- 至少每 6 个月将所有 Optimizely 代码包更新到最新次要版本。
- 使用 Visual Studio 2022 nuget 包管理器来定位任何其他易受攻击的 dotnet 包。
甚至还有一个小复选框来显示所有易受攻击的软件包。 - 使用 npm audit 获取易受攻击的前端包列表。
- 至少更新所有中等或更高版本
对于更加关注安全性的网站,我建议采用更具雄心的流程:
- 在每个冲刺或每个月开始时将所有 Optimizely 代码包更新到最新的次要版本。
- 使用 Visual Studio 2022 nuget 包管理器来定位任何其他易受攻击的 dotnet 包。
甚至还有一个漂亮的小复选框来显示所有易受攻击的软件包 - 使用 npm audit 获取易受攻击的前端包列表。
- 更新所有易受攻击的软件包
- 使用 Azure 高级安全性 或构建管道中的类似代码扫描仪
将其设置为单独的管道并在每次部署之前手动运行它。
对于真正大型的解决方案,可能需要比我注意到的正常磁盘空间更大的构建代理。
有关 Optimizely 的更多安全相关提示,请参阅我的安全检查表
祝您编码愉快并注意安全!
2024 年 6 月 27 日
1719664366
#通过更新外部软件包来保证网站安全
2024-06-27 10:23:27
