Infographic:
How Drupal combines open source, openness, and security
Posted 12 Mar 2012 by
Jeffrey A. McGuire
Bài được đưa lên
Internet ngày: 12/03/2012
Lời
người dịch: Bài giải thích về sự kết hợp giữa
nguồn mở, tính mở và an ninh của hệ quản trị nội
dung (CMS) nguồn mở nổi tiếng nhất thế giới hiện nay,
Drupal, với 10 bước. Ai cần bảo vệ và vì sao? Làm thế
nào hệ quản trị nội dung (CMS) nguồn mở lớn nhất thế
giới kết hợp được tính mở và an ninh. Quan niệm “an
ninh vì sự tù mù” đã được chứng minh là hoàn toàn
SAI. “an ninh và nguồn mở đi tay trong tay - điều có
thể thể như là một sự ngạc nhiên cho những ai giả
thiết rằng “an ninh bằng sự tù mù” mới thực sự
làm việc. Việc ẩn dấu đằng sau việc cấp phép sở
hữu độc quyền hoặc mã nguồn được biên dịch và hy
vọng không ai để ý tới các lỗi an ninh còn chưa được giải
quyết là một công thức cho thảm họa. Việc có mã
nguồn của bạn được mở cho bất kỳ ai có thể làm
cho an ninh được cải thiện - bất kỳ ai cũng có thể
thấy và sửa một vấn đề. Làm việc với một cộng
đồng hàng ngàn lập trình viên làm nhân lên những lợi
ích; bất kỳ ai sửa lỗi cũng làm cho lỗi của bạn trở
nên được sửa. Các chuyên gia an ninh từ các chính phủ
và các công ty lớn trên thế giới bản thân họ thường
xuyên soi xét kỹ lưỡng kho mã nguồn của Drupal và đã
đánh giá nó an ninh đủ cho các ứng dụng sống còn của
họ”. Xem thêm: [01],
[02],
[03],
[04].
Drupal đã trải qua từ
phòng ngủ tập thể tới phòng của hội đồng quản trị
trong một thập niên kể từ ngày được tạo ra. Nó trang
bị cho những hiện diện web của hàng trăm ngàn doanh
nghiệp, chính phủ, đại học và các cơ quan khác trên
thế giới. Việc phát triển mã nguồn cho Drupal bây giờ
có nghĩa là việc viết mã nguồn mà có thể được sử
dụng trong bất kỳ site nào. Bất chấp là nó đi từ
người chơi theo sở thích hay là dân chuyên nghiệp toàn
thời gian, thì mã nguồn của Drupal cũng phải đáp ứng
được những yêu cầu an ninh rất nghiệm ngặt của các
ngân hàng, các nhà cung cấp y tế, và các chính phủ,
trong khi vẫn giữ một bước trước đối với những
người cố gắng thâm nhập vào trong các hệ thống như
vậy.
An
ninh và nguồn mở đi với nhau tay trong tay
Qui trình an ninh của
Drupal cần phải được triển khai nhanh chóng và thận
trọng để giúp sửa các vấn đề trước khi chúng trở
thành được biết hoặc được khai thác một cách rộng
rãi. Tuy nhiên, an ninh và nguồn mở đi
tay trong tay - điều có thể thể như là một sự ngạc
nhiên cho những ai giả thiết rằng “an ninh bằng sự tù
mù” mới thực sự làm việc. Việc ẩn dấu đằng sau
việc cấp phép sở hữu độc quyền hoặc mã nguồn được
biên dịch và hy vọng không ai để ý tới các lỗi an
ninh còn chưa được giải quyết là một công thức cho thảm
họa. Việc có mã nguồn của bạn được mở cho bất kỳ
ai có thể làm cho an ninh được cải thiện - bất kỳ ai
cũng có thể thấy và sửa một vấn đề. Làm việc với
một cộng đồng hàng ngàn lập trình viên làm nhân lên
những lợi ích; bất kỳ ai sửa lỗi cũng làm cho lỗi
của bạn trở nên được sửa. Các chuyên gia an ninh từ
các chính phủ và các công ty lớn trên thế giới bản
thân họ thường xuyên soi xét kỹ lưỡng kho mã nguồn
của Drupal và đã đánh giá nó an ninh đủ cho các ứng
dụng sống còn của họ.
Who
needs protecting and why? How the world's largest open source CMS
combines openness and security.
Drupal
has gone from
dorm room to board room in decade since its creation. It powers
the web presences of hundreds of thousands of businesses,
governments, universities, and others around the world. Developing
code for Drupal now means writing code that could be used on any of
those sites. Whether it comes from passionate hobbyist or full-time
professional, Drupal's code must meet the very strict security
requirements of banks, health-care providers, and governments, while
keeping one step ahead of those trying to break into such systems.
Security
and open source go hand-in-hand
Drupal's
security process does need to be carried out quickly and discreetly
to help fix problems before they become widely known or exploited.
Nonetheless, security and open source go hand in hand – this may
come as a surprise to those who assume that "security by
obscurity" actually works. Hiding behind proprietary licensing
or compiled code and hoping no one notices security flaws that have
not been addressed is a recipe for disaster. Having your code open to
anyone can result in greatly improved security – anyone can find
and fix a problem. Working with a community of thousands of
developers multiplies the benefits; anyone else's bug fix becomes
your fixed bug, too. Security experts from the world's governments
and largest companies regularly scrutinize Drupal's codebase for
themselves and have judged it secure enough for their
mission-critical applications.
Công
việc bắt đầu trước khi các vấn đề an ninh nảy sinh
- nhận thức về an ninh chủ động tích cực
Mã nguồn không an
ninh thường bị lỗi từ ban đầu. Có những thực tiễn
tốt nhất rằng các lập trình viên nên bám theo để ngăn
chặn đại đa số các vấn đề về an ninh ngay từ đầu.
Vì lý do này, Đội An ninh Drupal chĩa mũi nhọn không biết
mệt vào những nỗ lực đang diễn ra để giáo dục và
giúp cho cộng đồng Drupal ngăn chặn các vấn đề an ninh
nảy sinh. Họ tiến hành những trình diễn và huấn luyện
tại các sự kiện và các hội nghị cộng đồng Drupal,
đưa ra các hội thảo web, viết các tài liệu trực tuyến
tự do, và duy trì một nhóm chung để thảo luận về các
vấn đề có liên quan tới an ninh của Drupal.
Cái
gì được hỗ trợ? Nhân Drupal và các module phát hành ổn
định
Đội An ninh Drupal hỗ
trợ quản lý đại đa số các vấn đề an ninh thông qua
dự án Drupal và các module cài cắm được đóng góp của
nó. Các module với các phát hành “phát triển” là một
ngoại lệ; các module mà không có phát hành ổn định hỗ
trợ (“1.0”, “2.1”, ...) không thể nhận được lợi
ích của việc giám sát của Đội An ninh. Neus bạn đang
xem xét sử dụng một module với chỉ các phát hành “phát
triển” hoặc “beta” cho một ứng dụng sống còn, thì
khuyến khích người duy trì module đó tạo ra một phát
hành “x.0” ổn định, được hỗ trợ.
Về
Đội An ninh Drupal
Dự án Drupal đã
chính thức hóa sự tồn tại của Đội An ninh vào năm
2005 và quay vòng sự lãnh đạo của đội theo chu kỳ. Mã
nguồn không thường “bỗng nhiên trở nên an ninh” được,
mà một số vấn đề có thể phảng phất và khó nhận
ra. Sự nổi lên của các công nghệ mới có thể làm cho
các vấn đề nhìn thấy được theo các cách mới. Nhiều
kỹ năng, tri thức và kinh nghiệm làm cho Drupal an ninh nhất
có thể. Đội An ninh Drupal bây giờ là trưởng thành,
nhóm đa dạng, hiện gồm khoảng 40 chuyên gia an ninh web
hàng đầu thế giới (không ai trong số họ là người
máy, bất chấp kỹ năng và hiệu quả của họ). Họ giám
sát và phân tích các vấn đề mà thu hoạch được “trong
các chiến hào” và làm việc để cải thiện an ninh của
dự án Drupal. Các thành viên của đội là những người
tình nguyện chuyên tâm từ các quốc gia ở 3 châu lục,
bao gồm những người sống ở Bỉ, Canada, Anh, Pháp, Đức,
Hungary, Iraland, Nhật và Mỹ. Đội này lôi kéo các thành
viên từ các nhà tư vấn, các nhà cung cấp dịch vụ
Drupal, các nhà thầu chính phủ và những người sử dụng
đầu cuối Drupal, bao gồm cả các tổ chức phi lợi
nhuận, vì lợi nhuận và giáo dục.
Work
begins before security issues arise – proactive security awareness
Insecure
code is usually flawed from the start. There are best practices that
developers should follow to nip the vast majority of security
problems in the bud. For this reason, the Drupal Security Team
tirelessly spearheads ongoing efforts to educate and help the Drupal
community prevent security issues from arising. They conduct
presentations and training at Drupal community events and
conferences, give webinars, write free online documentation, and
maintain
a public group to discuss Drupal security-related issues.
What
is supported? Drupal core and stable release modules
The
Drupal Security Team assists in handling the vast majority of
security issues across the Drupal project and its contributed,
plug-in modules. Modules with "development" releases are an
exception; modules without a supported stable release ("1.0",
"2.1", etc.) cannot receive the benefit of the Security
Team's oversight. If you are considering using a module with only
"development" or “beta” releases for a critical
application, encourage the module's maintainer to create a stable,
supported "x.0" release.
About
the Drupal Security Team
The
Drupal project formalized the existence of its Security Team in 2005
and rotates team leadership periodically. Code doesn't usually
"suddenly become insecure", but some issues can be subtle
and hard to spot. The rise of new technologies can make problems
visible in new ways. A great deal of skill, knowledge and experience
goes into making Drupal as secure as possible. The Drupal Security
Team is now a mature, diverse group, currently comprising around 40
of the world's leading web-security experts (none of them robots,
despite their skill and efficiency). They monitor and analyze
problems that crop up "in the trenches" and work to improve
the security of the Drupal project. Members of the team are dedicated
volunteers from countries across 3 continents, including residents of
Belgium, Canada, England, France, Germany, Hungary, Ireland, Japan,
and the United States. The team draws members from consultancies,
Drupal service providers, government contractors and Drupal's
end-users, including non-profit, for-profit and education
organizations.
Qui
trình đưa ra An ninh
- Chỗ bị tổn
thương trong mã nguồn được phát hiện. Những người
săn lỗi là ở khắp nơi! Bất kỳ ai cũng có thể nhận
diện và báo cáo một vấn đề an ninh cho đội, bao gồm
bản thân đội đó, những người duy trì các module, Cộng
đồng Drupal rộng lớn hơn, các nhà nghiên cứu an ninh có
quan tâm trong Drupal, và bạn. Để báo cáo một vấn đề,
hãy đọc và tuân theo Cách báo cáo một vấn đề an ninh
trên drupal.org.
- Vấn đề được
báo cáo riêng cho Đội An ninh. Các vấn đề an ninh
nên được quản lý một cách bí mật. Một ngoại lệ
là nếu một chỗ bị tổn thương yêu cầu các quyền
cao cấp hoặc truy cập để khai thác - ví dụ, khả năng
để quản trị các bộ lọc hoặc những người sử
dụng. Trong những trường hợp đó, Đội An inh khuyến
khích những người duy trì các module sửa các vấn đề
một cách công khai vì họ không đại diện cho mối đe
dọa của riêng mình và họ làm cứng cáp thêm cho hệ
thống khi được triển khai. Xem Chính sách Cố vấn An
ninh Drupal để có thêm các chi tiết.
- Vấn đề được
xem xét lại, tác động tiềm tàng tới tất cả các phát
hành Drupal được hộ trợ được đánh giá. Có 2
loạt phát hành chính (6.x và 7.x) được hỗ trợ bất kỳ
lúc nào. Bạn nên chạy luôn và cập nhật phiên bản
hiện hành nhất của các loạt bạn đang sử dụng. Xem
Chọn một phiên bản Drupal để có thêm chi tiết.
- Nếu mối đe
dọa là hiện thực, Đội An ninh được huy động để
phân tích. Người duy trì được thông báo.
The
Security Release process
- Vulnerability
in code discovered.
Bug hunters are everywhere! Anyone can identify and report a
security issue to the team, including the team itself, module
maintainers, the broader Drupal Community, security researchers
interested in Drupal, and you. To report an issue, read and follow
How to report a security
issue on drupal.org.
- Issue
reported privately to Security Team.
Security issues should be handled confidentially. The one exception
is if a vulnerability requires advanced permissions or access to
exploit – for example, the ability to administer filters or users.
In these cases, the Security Team encourages module maintainers to
fix these issues publicly because they don’t represent a threat on
their own and they further harden the system when implemented. See
the Drupal
Security Advisory policy for further details.
- Issue
reviewed, potential impact on all supported Drupal releases
evaluated. There
are two major release series (6.x, 7.x, etc.) supported at any given
time. You should always run and update to the most current version
of the series you are using. See Choosing
a Drupal version for further details.
- If
the threat is valid, Security Team mobilized for analysis.
Maintainer notified.
- Maintainer
fixes issue. Security Team provides support.
Maintainers, testers, and other interested parties are granted
access to the issue on a private, secure issue tracker to
collaborate on a solution.
- Fixes
reviewed and discussed.
Steps 4 though 6 are repeated until the Security Team and module
maintainer are satisfied the security issue has been addressed.
- Code
patches created and tested.
The new code is tested to make sure it doesn't introduce other
security issues or break the module in question.
- New,
fixed versions made available on Drupal.org
- Security
advisory written and published via website, newsletter, RSS,
Twitter, social media, etc.
Sign up for the Drupal security newslett on Drupal.org. Follow
@drupalsecurity on Twitter. Follow these RSS feeds for core:
http://drupal.org/security/rss.xml
and contributed modules: http://drupal.org/security/contrib/rss.xml
- New
versions deployed on all sites.
The "Available updates" report (at admin/reports/updates
in Drupal 6.x and 7.x) on your Drupal site will tell you if your
Drupal core and contributed module versions are up-to-date and give
you download links and release notes for any new versions. Updates
are not automatic and need to be carried out regularly to keep your
code up-to-date and your site as secure as possible.
- Người duy trì
sửa vấn đề. Đội An ninh đưa ra sự hỗ trợ.
Những người duy trì, kiểm thử, và các bên khác có
quan tâm được trao sự truy cập tới vấn đề về người
theo dõi vấn đề an ninh, riêng để cộng tác về một
giải pháp.
- Các sửa lỗi
được xem xét lại và được thảo luận. Các bước
4 tới 6 được lặp cho tới khi Đội An ninh và người
duy trì module thỏa mãn là các vấn đề đã được giải
quyết.
- Các bản vá mã
nguồn được tạo ra và được kiểm thử. Mã nguồn
mở được kiểm thử và chắc chắn nó không đưa ra các
vấn đề an ninh khác hoặc làm vỡ module đó theo yêu
cầu.
- Các phiên bản
mới, được sửa lỗi được làm cho sẵn sàng trên
Drupal.org.
- Tư vấn an ninh
được viết và được xuất bản thông qua website, thư
tin, RSS, Twitter, phương tiện xã hội, ... Hãy đăng ký
cho thư tin an ninh Drupal trên Drupal.org. Hãy theo
@drupalsecurity trên Twitter. Hãy theo RSS cấp tin cho nhân
tại: http://drupal.org/security/rss.xml
và các module được đóng góp tại:
http://drupal.org/security/contrib/rss.xml.
- Các phiên bản
mới được triển khai trên tất cả các site. Báo cáo
“Các bản cập nhật sẵn sàng” (ở admin/reports/updates
in Drupal 6.x and 7.x) trên site Drupal của bạn sẽ nói cho
bạn liệu nhân Drupal của bạn và các phiên bản module
được đóng góp có được cập nhật hay không và trao
cho bạn các đường liên kết để tải về và các lưu
ý phiên bản cho bất kỳ phiên bản mới nào. Các
cập nhật là không tự động và cần phải được triển
khai thường xuyên để giữ cho mã nguồn của bạn được
cập nhật và site của bạn là an ninh nhất có thể
Nếu
site Drupal của bạn bị hack hoặc làm mất mặt
Hãy giúp ngăn chặn
sự việc không hay này xảy ra cho những người khác! Dù
không thể hỗ trợ trong những trường hợp riêng rẽ,
Đội An ninh mong muốn nghe về kinh nghiệm của bạn, để
bảo vệ tốt hơn cộng đồng Drupal một cách toàn bộ.
Bạn có thể sử dụng mẫu template ở trang “Site của
tôi đã bị làm mất mặt. Bây giờ là gì?” để cho
phép họ biết điều gì đã xảy ra.
Các
tài nguyên
Tất cả các tưu vấn
an ninh hiện hành cũng như thông tin về cách đăng ký vào
thư tin an ninh của Drupal, hãy liên hệ đội an ninh, và
hơn nữa được liệt kê tại
http://drupal.org/security.
Cảm ơn
If
your Drupal site is hacked or defaced
Help
prevent this unfortunate occurrence from happening to others! Though
unable to assist in individual cases, the Security Team would like to
hear about your experience, in order to better protect the Drupal
community as a whole. You can use the template at the page "My
site was defaced. Now what?" to let them know what happened.
Resources
All
current security advisories as well as information on how to
subscribe to the Drupal security newsletter, contact the security
team, and more are listed at http://drupal.org/security.
Thanks
Chúng tôi cảm ơn
trước và hơn hết đối với những người tình nguyện
trong Đội An ninh Drupal. Chúng tôi đánh giá sâu sắc sự
tận tụy của các bạn cho Drupal. an ninh, và web vận hành
tốt của chúng tôi.
Cảm ơn đặc biệt
tới Greg Knaddison, Lãnh đạo Đội An ninh Drupal, vì sự
hiểu biết sâu sắc của bạn và giúp làm cho mọi thứ
đúng đắn!
Cũng cảm ơn tới
mogdesign và Acquia về việc giúp giải thích qui trình phức
tạp và quan trọng này.
Hãy
lan truyền
Thông tin đồ họa
“Giữ cho Drupal An ninh - 10 bước cho một Phát hành An
ninh Drupal” được cấp phép theo một Giấy phép Không
chuyển của Creative Commons Attribution - NoDerivs 3.0. Hãy tảy
nó về và lan truyền nó.
Our
thanks goes out first and foremost to the volunteers on the Drupal
Security Team. We deeply appreciate your dedication to Drupal, our
security, and a well-functioning web.
Special
thanks to Greg
Knaddison, Drupal Security Team Lead, for your insight and help
getting all this right!
Thanks
also to mogdesign and Acquia for
helping explain this complex and important process.
Spread
the word
Dịch tài liệu: Lê Trung Nghĩa