[Ereignisbericht] WEB-Sicherheitsstudien-Fallstudienseminar für Java Framework ohne Unterstützung

Dieser Artikel ist Wir haben Dr. Hiroshi Tokumaru, den Autor des sogenannten "Tokumarumoto", "Wie man eine sichere Webanwendung erstellt, um systematisch zu lernen", dessen zweite Ausgabe erst neulich veröffentlicht wurde, zu einer Grundsatzrede eingeladen. Unsere Styles, EG Secure Solutions und SCSK betraten die Bühne "Seminar zu Web-Sicherheitsmaßnahmen für nicht unterstützte Java-Frameworks" (2018/6 / 27) Ereignisbericht.

　 Für Unternehmen, die Geschäftssysteme und das Internet nutzen, ist dies für die meisten Unternehmen das unvermeidliche Problem der Software am Ende des Supports.

In diesem Seminar werden wir das Ideal und die Realität von Sicherheitsmaßnahmen für Websysteme diskutieren. ** ・ EG Secure Solutions **, das für viele Unternehmen Sicherheitsberatung angeboten hat ** ・ SCSK **, das für die langfristige Wartung der Kundenanwendungen verantwortlich ist ** - Styles, das Migrationswerkzeuge für Java-Frameworks und OSS entwickelt und bereitstellt, die nicht mehr unterstützt werden ** Von 3 Firmen Er hielt einen Vortrag über die königlichen Straßenmuster, die im Hinblick auf Sicherheit und praktische Lösungen sowie Gegenmaßnahmen mit Beispielen berücksichtigt werden müssen.

▼ Zustand des Veranstaltungsortes am Tag

Das Folgende ist ein Überblick über dieses Seminar.

Was ist überhaupt aus der Unterstützung heraus?

• Auch wenn eine Sicherheitslücke auftritt, wenn der Support unterbrochen wird (Ende des Supports) Es wird kein Patch bereitgestellt, um die Sicherheitsanfälligkeit zu beheben

• Die Software ist ein "Versprechen" an den Käufer Es gibt eine Support-Lebenszyklusrichtlinie.

Denken Sie an den Lebenszyklus des Systems

Als Lehrbuch zur Informationssicherheit Zum Zeitpunkt der Planung der Entwicklung und des Aufbaus des Systems

• In Erwartung des Endes der Softwareunterstützung Es muss überlegt werden, welche Maßnahmen zu ergreifen sind.

Welche Sicherheitslücken erfordern besondere Aufmerksamkeit?

• Als das Ende der Unterstützung für Windows XP gemeldet wurde, gab es viele Turbulenzen. Da sich Windows XP im Wesentlichen innerhalb der Firewall befindet, ist es für böswillige Angreifer schwierig, aktive Aktionen auszuführen.

• Das Java-Framework im Internet ist Über das Internet außerhalb der Firewall sein, Böswillige Angreifer ergreifen eher aktive Maßnahmen.

Eine realistische Lösung für die Sicherheitsanfälligkeit ist

• Zu Nachfolgesoftware migrieren --Schließen Sie die Website

Wurde im Lehrbuch benötigt.

Die Verwendung von Java-Frameworks ohne Unterstützung ist besonders schwierig

Software, die nicht mehr unterstützt wird Sicherheitspatches werden ebenfalls nicht aktualisiert ** Es gibt keine Möglichkeit, es weiter zu verwenden. ** ** **

Tatsächlich jedoch Für End-of-Support-Software, insbesondere für im Bereich der Entwicklung verwendete Frameworks wie Java-Frameworks

• Aus Kosten, Wirksamkeit, Berücksichtigung anderer Gegenmaßnahmen usw. In vielen Fällen können wir nicht schnell reagieren.

Aber ** Um mit dem Java-Framework für das Ende der Unterstützung fortzufahren Es kostet eine beträchtliche Menge an Betrieb. ** ** **

weil

• Sie müssen die Informationen zur Sicherheitsanfälligkeit im Auge behalten
• Kritische Antwort ist erforderlich
• Daher sind die Betriebskosten hoch

Schließlich

Zuletzt meine Eindrücke als Seminarorganisator. ..

In diesem Seminar Es wird eine Ecke geben, in der den Referenten Fragen in Form von Diskussionen (Interviews) zu "Fragen" gestellt werden, die von Seminarbewerbern im Voraus erhalten wurden. Dies war das erste Mal, dass ich es als Seminar von Styles ausprobierte.

Als Interviewer, während er über das nachdenkt, was kein gutes Interview war, Am Ende erhielten wir viele zusätzliche Fragen am Veranstaltungsort. Unter den Geschäftsseminaren habe ich bisher geplant Es war ein Seminar, das die Kommunikation zwischen Referenten und Besuchern anregen konnte! 　 Vielen Dank an alle, die zu der Veranstaltung gekommen sind, für ihre freundliche Unterstützung. 　 　 Für zusätzliche Fragen und Styles-Seminarmaterialien Wir freuen uns darauf, von Ihnen über das Styles Corporate Site Inquiry Form zu hören!