Soy un desarrollador senior que mantiene una aplicación web de FinTech SAAS. La aplicación web se está ejecutando actualmente en Fat Free Framework en PHP 5.4 en una pila LAMP. Se me ha indicado que no se ha actualizado porque la actualización a 5.6 causaría problemas con nuestro complemento de autenticación (BCRYPT).
Soy consciente de que PHP 5.4 alcanzó su EOL el 3 de septiembre de 2015 , que incluyó la finalización del soporte de seguridad. Del mismo modo, soy consciente de que PHP 5.6 llegará a su EOL diciembre de 2018 y también perderá su soporte de seguridad. También hemos completado recientemente una auditoría de seguridad de aplicaciones web con un contratista externo. Por extraño que parezca, esta información con respecto a las versiones de PHP no se incluyó en el borrador del informe, que esperaba ver. Tengo la intención de comentar esto con ellos después del día de los presidentes.
Para ser claros. He subido el 5.6 EOL a mi CTO, pero todavía no he planteado el problema 5.4 EOL (más sobre esto más adelante). Originalmente no lo supe hasta que lo verifiqué expresamente luego de su omisión en el borrador del informe. He recomendado que realicemos la actualización de PHP 5.x debido al riesgo de seguridad involucrado; sin embargo, mi CTO ha rechazado este triple: aparentemente porque llevaría mucho tiempo y / o priorizaría las nuevas características prometidas a los clientes.
Tengo la intención de mencionar esto por cuarta y última vez, pero deseo hacerlo armado con información tangible sobre los riesgos involucrados. Las respuestas a mi pregunta a continuación se incluirán, así como los puntos planteados cuando discuto esto con mi auditor de seguridad.
Entonces, con respecto a risk management
, ¿cuáles son los distintos riesgos de continuar apoyando esta aplicación con PHP 5.4 y / o PHP 5.6?
Nota: Soy consciente de que esto es un riesgo de seguridad, pero no sé específicamente por qué. Soy desarrollador no un especialista en seguridad. Como tal, agradecería enormemente las respuestas detalladas. También se agradecería la inclusión de explotaciones no parcheadas conocidas que afectan a FFF o PHP 5.4. Si hay un sitio web que proporciona tal información aún mejor.