[acarmelo001]

muji4832 napisał: Przepraszam za późną odpowiedź. Wszystkie są zahartowane zgodnie z benchmarkiem CIS, a większość z nich nie jest publicznie dostępna. Chciałbym myśleć, że jesteśmy całkiem bezpieczni Po prostu szukamy opłacalnego oprogramowania, które może spełnić wymagania audytu. Ktoś polecił Trend Micro Deep Security, ale nadal chcielibyśmy mieć więcej opcji do porównania. Jeśli uważasz, że jest wystarczająco bezpieczny, czy myślisz, że może minąć audyt bezpieczeństwa? Nie tak zazwyczaj działa zgodność z zasadami bezpieczeństwa. Problem jest, pomimo tego, że system został już zaostrzony, nie będzie już otrzymywać dalszych aktualizacji luk, które można znaleźć we wszystkich częściach systemu, takich jak jądro, biblioteki i tak dalej. Jeśli Twój system nie jest całkowicie odizolowany od reszty świata, po prostu obsługa prostego żądania http potencjalnie naraziłoby go na włamanie. Co się stanie, jeśli serwer aplikacji lub demon obsługujący to żądanie http ma nową, założoną lukę, a system operacyjny ma EOL i nie jest już łatany? Oznacza to, że będzie tam zawsze, dopóki nie zmienisz komponentu lub systemu. Tylko ta część moim zdaniem nie przekroczyłaby wymogów bezpieczeństwa. Oczywiście to do firmy audytorskiej należy ostatnie słowo. W każdym przypadku EOL oznacza brak wsparcia, chyba że zleceniodawca oferuje rozszerzoną obsługę techniczną, którą klienci będą musieli zapłacić poza wsparciem cyklu życia publicznego.