# [0223]Checkmarx升版後續措施討論 ### 出現大量弱點是否正常? 會不會是哪邊設置錯誤? 此問題並不只有法金同仁遇到，其他系統也有相關問題； 目前資安團隊正在詢問廠商這種突然出現大量弱點是否合理 ### 若大量弱點是正常，是否全部都必須視為弱點，或是部份項目可統一排除? #### 若詢問廠商後，此現象正常的話； 就必須認定為弱點，但 達立學長 初步看一下是否檔案位置都一致， 如果同樣類似情況的都發生在同一package，可統一回覆 (初步看 GIB 的重大弱點皆僅只有四種 Pattern 弱點 (SQL Injection 等)，初步推論有可能有類似之情形) 另外達立學長，想知道前後之間的差距 還請學長提供爆大量弱點之 Project 升級前最後一次掃描報告，供資安團隊確認 ### 是否每個系統中/低 都需要全數修復? 如確認皆為正常，盡可能修復及評估說明 ### 若有大量弱點真的需要修復, 是否有更長的緩衝期? 如廠商回覆為正常，資安團隊會再討論緩衝期限問題 目前達立學長回覆 可能會拉長緩衝期限，但有可能因為行內對各系統的期限定義不同而有所限制(DMZ 相關之系統)，為待討論之議題 明天討論的議題: 緩衝期多久/怎麼開例外/