Het werk van het Joomla Security Team
De taak van het team kan opgesplitst worden in 4 verschillende subtaken:
-
1 - MonitoringDe teamleden van het Joomla Security Team hebben tientallen nauw gemonitorde sites om zo snel mogelijk op de hoogte te zijn van nieuwe aanvalsscenario's. Gelukkig zijn deze sondes zelden nodig, omdat 99% van alle beveiligingsproblemen vertrouwelijk worden gecommuniceerd naar het team, waardoor we naar de volgende taak gaan.
-
2 - ProbleemafhandelingWanneer een nieuw beveiligingsprobleem wordt gerapporteerd, moet het rapport worden erkend. Zodra dit is gebeurd, begint het team met het zoeken naar de details om het probleem te verifiëren en om te bepalen hoe gevaarlijk het is. Het laatste deel is uiterst belangrijk, omdat rapporten vaak slechts 'het topje van de ijsberg' zijn en de onderliggende oorzaak anders is. Ik kan met trots zeggen dat JSST hier fantastisch werk verricht en ervoor zorgt dat problemen correct worden gepatcht.
-
3 - ProbleempatchingZzodra de oorzaak van het probleem is vastgesteld, moet een fix worden ontwikkeld en getest. De grote uitdaging hier is om zoveel mogelijk scenario's te testen met een heel klein team en geen mogelijkheid om feedback te krijgen van derden (bijv. Ontwikkelaars van uitbreidingen).
-
4 - Pro-actieve auditsVoordat nieuwe functies worden samengevoegd in de kern, voert JSST geautomatiseerde en handmatige controles uit op de nieuwe code die in die functie is opgenomen. Dat is een geweldige manier om problemen op te lossen, nog voordat ze zich ooit voordoen.
Communicatie is belangrijk
De eerste groep partners zijn beveiligingsonderzoekers.
Ze zoeken voortdurend naar onbekende problemen in de kern van Joomla, simuleren aanvallen en rapporteren bedreigingen voor het project. Gelukkig is het een industriestandaard geworden om deze rapporten privé te doen om de verkoper (dus in dit geval dat van ons) voldoende tijd te geven om het probleem op te lossen en een beveiligde versie uit te brengen. Dit proces, verantwoordelijk onthullen genoemd, werkt opmerkelijk goed en ik kan onze verslaggevers niet genoeg bedanken voor het ondersteunen van ons op een dergelijke professionele manier. In ruil voor deze rapporten verwachten de onderzoekers normaal gesproken enige "zichtbaarheid" (verstrekt door het geven van credits in de beveiligingsaankondigingen) en vooral, ze verwachten enige waardering en één-op-één communicatie.
De tweede groep partners is de afgelopen jaren een game changer geworden voor de JSST: webhostingbedrijven!
In de Joomla-wereld zien we vaak dat veel sites worden gehackt na kritieke releases, omdat Joomla-site-eigenaren hun installaties niet op tijd bijwerken - 'in de tijd' is hier het interessante deel, want voor echt kritieke aanvallen kan een gebruiker te weinig hebben meer dan 10 uur voordat de eerste automatische aanvallen beginnen. Om deze gebruikers die langzaam updaten bij te werken, biedt het beveiligingsteam niet alleen de eigenlijke patch, maar ook instructies voor het filteren van potentiële aanvallen met server-side maatregelen. Deze informatie wordt verzonden naar tal van webhosts, beveiligingsbedrijven en CDN-providers over de hele wereld op exact hetzelfde moment dat de release plaatsvindt, zodat deze bedrijven miljoenen gebruikers kunnen beschermen door gewoon een filterregel toe te voegen met een enkele klik.
En last but not least, moet het team ook communiceren met de Joomla-community. We moeten contact opnemen met het CMS Maintainer-team om beveiligingsreleases te coördineren, we werken samen met het marketingteam om ervoor te zorgen dat belangrijke informatie zijn weg vindt naar de gebruikers en we informeren gebruikers en ontwikkelaars ook over beveiligingsgerelateerde onderwerpen. bewustzijn van het belang van juiste veiligheidsmaatregelen.
Joomla neemt beveiliging serieus
We prevent your security nightmares from becoming reality!