Thứ Ba, 27 tháng 3, 2012

Infographic: Drupal kết hợp nguồn mở, tính mở và an ninh như thế nào

Infographic: How Drupal combines open source, openness, and security
Posted 12 Mar 2012 by Jeffrey A. McGuire
Bài được đưa lên Internet ngày: 12/03/2012
Lời người dịch: Bài giải thích về sự kết hợp giữa nguồn mở, tính mở và an ninh của hệ quản trị nội dung (CMS) nguồn mở nổi tiếng nhất thế giới hiện nay, Drupal, với 10 bước. Ai cần bảo vệ và vì sao? Làm thế nào hệ quản trị nội dung (CMS) nguồn mở lớn nhất thế giới kết hợp được tính mở và an ninh. Quan niệm “an ninh vì sự tù mù” đã được chứng minh là hoàn toàn SAI. “an ninh và nguồn mở đi tay trong tay - điều có thể thể như là một sự ngạc nhiên cho những ai giả thiết rằng “an ninh bằng sự tù mù” mới thực sự làm việc. Việc ẩn dấu đằng sau việc cấp phép sở hữu độc quyền hoặc mã nguồn được biên dịch và hy vọng không ai để ý tới các lỗi an ninh còn chưa được giải quyết là một công thức cho thảm họa. Việc có mã nguồn của bạn được mở cho bất kỳ ai có thể làm cho an ninh được cải thiện - bất kỳ ai cũng có thể thấy và sửa một vấn đề. Làm việc với một cộng đồng hàng ngàn lập trình viên làm nhân lên những lợi ích; bất kỳ ai sửa lỗi cũng làm cho lỗi của bạn trở nên được sửa. Các chuyên gia an ninh từ các chính phủ và các công ty lớn trên thế giới bản thân họ thường xuyên soi xét kỹ lưỡng kho mã nguồn của Drupal và đã đánh giá nó an ninh đủ cho các ứng dụng sống còn của họ”. Xem thêm: [01], [02], [03], [04].
Drupal đã trải qua từ phòng ngủ tập thể tới phòng của hội đồng quản trị trong một thập niên kể từ ngày được tạo ra. Nó trang bị cho những hiện diện web của hàng trăm ngàn doanh nghiệp, chính phủ, đại học và các cơ quan khác trên thế giới. Việc phát triển mã nguồn cho Drupal bây giờ có nghĩa là việc viết mã nguồn mà có thể được sử dụng trong bất kỳ site nào. Bất chấp là nó đi từ người chơi theo sở thích hay là dân chuyên nghiệp toàn thời gian, thì mã nguồn của Drupal cũng phải đáp ứng được những yêu cầu an ninh rất nghiệm ngặt của các ngân hàng, các nhà cung cấp y tế, và các chính phủ, trong khi vẫn giữ một bước trước đối với những người cố gắng thâm nhập vào trong các hệ thống như vậy.
An ninh và nguồn mở đi với nhau tay trong tay
Qui trình an ninh của Drupal cần phải được triển khai nhanh chóng và thận trọng để giúp sửa các vấn đề trước khi chúng trở thành được biết hoặc được khai thác một cách rộng rãi. Tuy nhiên, an ninh và nguồn mở đi tay trong tay - điều có thể thể như là một sự ngạc nhiên cho những ai giả thiết rằng “an ninh bằng sự tù mù” mới thực sự làm việc. Việc ẩn dấu đằng sau việc cấp phép sở hữu độc quyền hoặc mã nguồn được biên dịch và hy vọng không ai để ý tới các lỗi an ninh còn chưa được giải quyết là một công thức cho thảm họa. Việc có mã nguồn của bạn được mở cho bất kỳ ai có thể làm cho an ninh được cải thiện - bất kỳ ai cũng có thể thấy và sửa một vấn đề. Làm việc với một cộng đồng hàng ngàn lập trình viên làm nhân lên những lợi ích; bất kỳ ai sửa lỗi cũng làm cho lỗi của bạn trở nên được sửa. Các chuyên gia an ninh từ các chính phủ và các công ty lớn trên thế giới bản thân họ thường xuyên soi xét kỹ lưỡng kho mã nguồn của Drupal và đã đánh giá nó an ninh đủ cho các ứng dụng sống còn của họ.
Who needs protecting and why? How the world's largest open source CMS combines openness and security.
Drupal has gone from dorm room to board room in decade since its creation. It powers the web presences of hundreds of thousands of businesses, governments, universities, and others around the world. Developing code for Drupal now means writing code that could be used on any of those sites. Whether it comes from passionate hobbyist or full-time professional, Drupal's code must meet the very strict security requirements of banks, health-care providers, and governments, while keeping one step ahead of those trying to break into such systems.
Security and open source go hand-in-hand
Drupal's security process does need to be carried out quickly and discreetly to help fix problems before they become widely known or exploited. Nonetheless, security and open source go hand in hand – this may come as a surprise to those who assume that "security by obscurity" actually works. Hiding behind proprietary licensing or compiled code and hoping no one notices security flaws that have not been addressed is a recipe for disaster. Having your code open to anyone can result in greatly improved security – anyone can find and fix a problem. Working with a community of thousands of developers multiplies the benefits; anyone else's bug fix becomes your fixed bug, too. Security experts from the world's governments and largest companies regularly scrutinize Drupal's codebase for themselves and have judged it secure enough for their mission-critical applications.
Công việc bắt đầu trước khi các vấn đề an ninh nảy sinh - nhận thức về an ninh chủ động tích cực
Mã nguồn không an ninh thường bị lỗi từ ban đầu. Có những thực tiễn tốt nhất rằng các lập trình viên nên bám theo để ngăn chặn đại đa số các vấn đề về an ninh ngay từ đầu. Vì lý do này, Đội An ninh Drupal chĩa mũi nhọn không biết mệt vào những nỗ lực đang diễn ra để giáo dục và giúp cho cộng đồng Drupal ngăn chặn các vấn đề an ninh nảy sinh. Họ tiến hành những trình diễn và huấn luyện tại các sự kiện và các hội nghị cộng đồng Drupal, đưa ra các hội thảo web, viết các tài liệu trực tuyến tự do, và duy trì một nhóm chung để thảo luận về các vấn đề có liên quan tới an ninh của Drupal.
Cái gì được hỗ trợ? Nhân Drupal và các module phát hành ổn định
Đội An ninh Drupal hỗ trợ quản lý đại đa số các vấn đề an ninh thông qua dự án Drupal và các module cài cắm được đóng góp của nó. Các module với các phát hành “phát triển” là một ngoại lệ; các module mà không có phát hành ổn định hỗ trợ (“1.0”, “2.1”, ...) không thể nhận được lợi ích của việc giám sát của Đội An ninh. Neus bạn đang xem xét sử dụng một module với chỉ các phát hành “phát triển” hoặc “beta” cho một ứng dụng sống còn, thì khuyến khích người duy trì module đó tạo ra một phát hành “x.0” ổn định, được hỗ trợ.
Về Đội An ninh Drupal
Dự án Drupal đã chính thức hóa sự tồn tại của Đội An ninh vào năm 2005 và quay vòng sự lãnh đạo của đội theo chu kỳ. Mã nguồn không thường “bỗng nhiên trở nên an ninh” được, mà một số vấn đề có thể phảng phất và khó nhận ra. Sự nổi lên của các công nghệ mới có thể làm cho các vấn đề nhìn thấy được theo các cách mới. Nhiều kỹ năng, tri thức và kinh nghiệm làm cho Drupal an ninh nhất có thể. Đội An ninh Drupal bây giờ là trưởng thành, nhóm đa dạng, hiện gồm khoảng 40 chuyên gia an ninh web hàng đầu thế giới (không ai trong số họ là người máy, bất chấp kỹ năng và hiệu quả của họ). Họ giám sát và phân tích các vấn đề mà thu hoạch được “trong các chiến hào” và làm việc để cải thiện an ninh của dự án Drupal. Các thành viên của đội là những người tình nguyện chuyên tâm từ các quốc gia ở 3 châu lục, bao gồm những người sống ở Bỉ, Canada, Anh, Pháp, Đức, Hungary, Iraland, Nhật và Mỹ. Đội này lôi kéo các thành viên từ các nhà tư vấn, các nhà cung cấp dịch vụ Drupal, các nhà thầu chính phủ và những người sử dụng đầu cuối Drupal, bao gồm cả các tổ chức phi lợi nhuận, vì lợi nhuận và giáo dục.
Work begins before security issues arise – proactive security awareness
Insecure code is usually flawed from the start. There are best practices that developers should follow to nip the vast majority of security problems in the bud. For this reason, the Drupal Security Team tirelessly spearheads ongoing efforts to educate and help the Drupal community prevent security issues from arising. They conduct presentations and training at Drupal community events and conferences, give webinars, write free online documentation, and maintain a public group to discuss Drupal security-related issues.
What is supported? Drupal core and stable release modules
The Drupal Security Team assists in handling the vast majority of security issues across the Drupal project and its contributed, plug-in modules. Modules with "development" releases are an exception; modules without a supported stable release ("1.0", "2.1", etc.) cannot receive the benefit of the Security Team's oversight. If you are considering using a module with only "development" or “beta” releases for a critical application, encourage the module's maintainer to create a stable, supported "x.0" release.
About the Drupal Security Team
The Drupal project formalized the existence of its Security Team in 2005 and rotates team leadership periodically. Code doesn't usually "suddenly become insecure", but some issues can be subtle and hard to spot. The rise of new technologies can make problems visible in new ways. A great deal of skill, knowledge and experience goes into making Drupal as secure as possible. The Drupal Security Team is now a mature, diverse group, currently comprising around 40 of the world's leading web-security experts (none of them robots, despite their skill and efficiency). They monitor and analyze problems that crop up "in the trenches" and work to improve the security of the Drupal project. Members of the team are dedicated volunteers from countries across 3 continents, including residents of Belgium, Canada, England, France, Germany, Hungary, Ireland, Japan, and the United States. The team draws members from consultancies, Drupal service providers, government contractors and Drupal's end-users, including non-profit, for-profit and education organizations.
Qui trình đưa ra An ninh
  1. Chỗ bị tổn thương trong mã nguồn được phát hiện. Những người săn lỗi là ở khắp nơi! Bất kỳ ai cũng có thể nhận diện và báo cáo một vấn đề an ninh cho đội, bao gồm bản thân đội đó, những người duy trì các module, Cộng đồng Drupal rộng lớn hơn, các nhà nghiên cứu an ninh có quan tâm trong Drupal, và bạn. Để báo cáo một vấn đề, hãy đọc và tuân theo Cách báo cáo một vấn đề an ninh trên drupal.org.
  2. Vấn đề được báo cáo riêng cho Đội An ninh. Các vấn đề an ninh nên được quản lý một cách bí mật. Một ngoại lệ là nếu một chỗ bị tổn thương yêu cầu các quyền cao cấp hoặc truy cập để khai thác - ví dụ, khả năng để quản trị các bộ lọc hoặc những người sử dụng. Trong những trường hợp đó, Đội An inh khuyến khích những người duy trì các module sửa các vấn đề một cách công khai vì họ không đại diện cho mối đe dọa của riêng mình và họ làm cứng cáp thêm cho hệ thống khi được triển khai. Xem Chính sách Cố vấn An ninh Drupal để có thêm các chi tiết.
  3. Vấn đề được xem xét lại, tác động tiềm tàng tới tất cả các phát hành Drupal được hộ trợ được đánh giá. Có 2 loạt phát hành chính (6.x và 7.x) được hỗ trợ bất kỳ lúc nào. Bạn nên chạy luôn và cập nhật phiên bản hiện hành nhất của các loạt bạn đang sử dụng. Xem Chọn một phiên bản Drupal để có thêm chi tiết.
  4. Nếu mối đe dọa là hiện thực, Đội An ninh được huy động để phân tích. Người duy trì được thông báo.
The Security Release process
  1.  Vulnerability in code discovered. Bug hunters are everywhere! Anyone can identify and report a security issue to the team, including the team itself, module maintainers, the broader Drupal Community, security researchers interested in Drupal, and you. To report an issue, read and follow How to report a security issue on drupal.org.
  2.  Issue reported privately to Security Team. Security issues should be handled confidentially. The one exception is if a vulnerability requires advanced permissions or access to exploit – for example, the ability to administer filters or users. In these cases, the Security Team encourages module maintainers to fix these issues publicly because they don’t represent a threat on their own and they further harden the system when implemented. See the Drupal Security Advisory policy for further details.
  3.  Issue reviewed, potential impact on all supported Drupal releases evaluated. There are two major release series (6.x, 7.x, etc.) supported at any given time. You should always run and update to the most current version of the series you are using. See Choosing a Drupal version for further details.
  4.  If the threat is valid, Security Team mobilized for analysis. Maintainer notified.
  5. Maintainer fixes issue. Security Team provides support. Maintainers, testers, and other interested parties are granted access to the issue on a private, secure issue tracker to collaborate on a solution.
  6. Fixes reviewed and discussed. Steps 4 though 6 are repeated until the Security Team and module maintainer are satisfied the security issue has been addressed.
  7. Code patches created and tested. The new code is tested to make sure it doesn't introduce other security issues or break the module in question.
  8. New, fixed versions made available on Drupal.org
  9. Security advisory written and published via website, newsletter, RSS, Twitter, social media, etc. Sign up for the Drupal security newslett on Drupal.org. Follow @drupalsecurity on Twitter. Follow these RSS feeds for core: http://drupal.org/security/rss.xml and contributed modules: http://drupal.org/security/contrib/rss.xml
  10. New versions deployed on all sites. The "Available updates" report (at admin/reports/updates in Drupal 6.x and 7.x) on your Drupal site will tell you if your Drupal core and contributed module versions are up-to-date and give you download links and release notes for any new versions. Updates are not automatic and need to be carried out regularly to keep your code up-to-date and your site as secure as possible.
  1. Người duy trì sửa vấn đề. Đội An ninh đưa ra sự hỗ trợ. Những người duy trì, kiểm thử, và các bên khác có quan tâm được trao sự truy cập tới vấn đề về người theo dõi vấn đề an ninh, riêng để cộng tác về một giải pháp.
  2. Các sửa lỗi được xem xét lại và được thảo luận. Các bước 4 tới 6 được lặp cho tới khi Đội An ninh và người duy trì module thỏa mãn là các vấn đề đã được giải quyết.
  3. Các bản vá mã nguồn được tạo ra và được kiểm thử. Mã nguồn mở được kiểm thử và chắc chắn nó không đưa ra các vấn đề an ninh khác hoặc làm vỡ module đó theo yêu cầu.
  4. Các phiên bản mới, được sửa lỗi được làm cho sẵn sàng trên Drupal.org.
  5. Tư vấn an ninh được viết và được xuất bản thông qua website, thư tin, RSS, Twitter, phương tiện xã hội, ... Hãy đăng ký cho thư tin an ninh Drupal trên Drupal.org. Hãy theo @drupalsecurity trên Twitter. Hãy theo RSS cấp tin cho nhân tại: http://drupal.org/security/rss.xml và các module được đóng góp tại: http://drupal.org/security/contrib/rss.xml.
  6. Các phiên bản mới được triển khai trên tất cả các site. Báo cáo “Các bản cập nhật sẵn sàng” (ở admin/reports/updates in Drupal 6.x and 7.x) trên site Drupal của bạn sẽ nói cho bạn liệu nhân Drupal của bạn và các phiên bản module được đóng góp có được cập nhật hay không và trao cho bạn các đường liên kết để tải về và các lưu ý phiên bản cho bất kỳ phiên bản mới nào. Các cập nhật là không tự động và cần phải được triển khai thường xuyên để giữ cho mã nguồn của bạn được cập nhật và site của bạn là an ninh nhất có thể
Nếu site Drupal của bạn bị hack hoặc làm mất mặt
Hãy giúp ngăn chặn sự việc không hay này xảy ra cho những người khác! Dù không thể hỗ trợ trong những trường hợp riêng rẽ, Đội An ninh mong muốn nghe về kinh nghiệm của bạn, để bảo vệ tốt hơn cộng đồng Drupal một cách toàn bộ. Bạn có thể sử dụng mẫu template ở trang “Site của tôi đã bị làm mất mặt. Bây giờ là gì?” để cho phép họ biết điều gì đã xảy ra.
Các tài nguyên
Để có thông tin sâu hơn, hãy đọc Báo cáo An ninh Drupal tại http://drupalsecurityreport.org.
Tất cả các tưu vấn an ninh hiện hành cũng như thông tin về cách đăng ký vào thư tin an ninh của Drupal, hãy liên hệ đội an ninh, và hơn nữa được liệt kê tại http://drupal.org/security.
Cảm ơn
If your Drupal site is hacked or defaced
Help prevent this unfortunate occurrence from happening to others! Though unable to assist in individual cases, the Security Team would like to hear about your experience, in order to better protect the Drupal community as a whole. You can use the template at the page "My site was defaced. Now what?" to let them know what happened.
Resources
For more in-depth information, read the Drupal Security Report at http://drupalsecurityreport.org.
All current security advisories as well as information on how to subscribe to the Drupal security newsletter, contact the security team, and more are listed at http://drupal.org/security.
Thanks
Chúng tôi cảm ơn trước và hơn hết đối với những người tình nguyện trong Đội An ninh Drupal. Chúng tôi đánh giá sâu sắc sự tận tụy của các bạn cho Drupal. an ninh, và web vận hành tốt của chúng tôi.
Cảm ơn đặc biệt tới Greg Knaddison, Lãnh đạo Đội An ninh Drupal, vì sự hiểu biết sâu sắc của bạn và giúp làm cho mọi thứ đúng đắn!
Cũng cảm ơn tới mogdesign và Acquia về việc giúp giải thích qui trình phức tạp và quan trọng này.
Hãy lan truyền
Thông tin đồ họa “Giữ cho Drupal An ninh - 10 bước cho một Phát hành An ninh Drupal” được cấp phép theo một Giấy phép Không chuyển của Creative Commons Attribution - NoDerivs 3.0. Hãy tảy nó về và lan truyền nó.
Our thanks goes out first and foremost to the volunteers on the Drupal Security Team. We deeply appreciate your dedication to Drupal, our security, and a well-functioning web.
Special thanks to Greg Knaddison, Drupal Security Team Lead, for your insight and help getting all this right!
Thanks also to mogdesign and Acquia for helping explain this complex and important process.
Spread the word
The infographic "Keeping Drupal Secure - Ten steps to a Drupal Security Release" is licensed under a Creative Commons Attribution-NoDerivs 3.0 Unported License. Download it and spread the word.
Dịch tài liệu: Lê Trung Nghĩa
Người đăng: vào lúc
Nhãn: , ,

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.

Đăng ký: Đăng Nhận xét (Atom)