控制措施
在開發應用服務與智慧合約等元件時,應該要區隔開發、測試,與營運環境。首先,在開發與測試環境當中可能會使用特定的測試帳號或程式,這如果直接在營運環境使用,可能會成為駭客攻擊的標的。因此,要隔離開發、測試,與營運環境,以便確保營運環境中不會有這些測試帳號或程式,以避免被利用。
此外,為了避免程式開發者在沒有經過安全檢查或測試就將程式發佈到營運環境的情況,需要將這些環境做區隔,而不給程式開發人員存取營運環境的權限,只能由其他審查人員,確定相關的安全檢查都通過後,方可將應用程式或智慧合約佈署於營運環境。
適用範圍:
- 應用服務的開發與維護單位
相關標準之控制措施:
| 標準 | 相關控制措施 |
|---|---|
| PCI-DSS 3.2.1 | 6.4.1、6.4.2、6.4.4 |
| CIS 控制 v7.1 | 18.9 |
| ISO/IEC 27002:2013 | 12.1.4 |