Отношения между разработчиками WordPress и исследователями безопасности были напряжены в течение некоторого времени. Недавно это так плохо, что репортеры уязвимости собираются мошенником, который влияет на владельцы сайтов. За последние месяцы мы наблюдали несколько исследователей, сброшенных 0-дневной информацией (данные уязвимости без текущего патча), которая привела к тому, что наш персонал безопасности находится в аварийном режиме, чтобы гарантировать, что плагины быстро обновляются, прежде чем сайты взломаны. В некоторых редких случаях, когда сайты взломаются, прежде чем мы сможем исправлять, мы вкладываем еще больше времени, обрабатывающую ответ на инцидент и очистку для каждого затронутого сайта.
Это не Здоровый сценарий для всех вовлеченных. Разработчики бросаются к созданию патчей, сайты взломают из-за отсутствия вины владельцев сайта, команды безопасности вкладывают больше времени, чем обычные для исправления взломов, а исследователи получают [плохие] прессы по их действиям.
Вот две статьи с этой недели, что в одном представлена исследователь безопасности с большим термином, посвященным месяцам без связи от разработчиков, они сообщили о уязвимости, а секунду, где он показан, что другой исследователь безопасности перестал быть приятным и сейчас выбирает Чтобы пойти полное раскрытие перед попыткой связаться с авторами плагинов о уязвимостях:
- Rcesecurity «О Sucuri RCE … и как не обрабатывать отчеты об ошибке Bounty» 20 июня 2019 года
- ZDNet «Disgruntled Security First раскрывает нулевые дни на плагинах WordPress Facebook» 17 июня 2019 года
Этот сценарий Сообщества WordPress и Security, в том, что входит в число всех вовлеченных (кроме хакеров), и это действительно довольно опечалило. Безопасность Pagely У команды есть сильный фон для того, чтобы делать правильные вещи в этих случаях, будь то Отчетность о уязвимостях (включая те, в которых в WordPress Core и плагины), а также полученные и полученные отчеты уязвимости от имени от имени других. Мы знаем, что процесс отчетности уязвимостей может быть нетто-позитивным и не должен идти по дороге, которая приводит к скомпрометированию сайтов.
Здесь у нас есть четыре рекомендации для разработчиков, плюс предложение Для исследователей безопасности и разработчиков одинаково.
Это наши четыре рекомендации:
1. Иметь точку контакта.
Было бы удивительно, что одно из крупнейших препятствий для исследователей безопасности могут быть просто узнать, кто связаться. Репозиторий плагина WP.ORG по понятным образом (для причин антиспама и конфиденциальности) не включает ваш адрес электронной почты или контактную форму на страницах плагинов. Также не приемлемо публиковать детали поиска безопасности на форумах плагинов (это то же самое, что выпуская уязвимость, поскольку это публичный дискуссионный форум).
Так что найдите минутку, чтобы подумать. Как вы хотите получить отчеты о безопасности? Может быть, включите точку безопасности в файлах Readme/исходных файлов плагина, или если у вас есть веб-сайт разработки, который вы связываете с страницы описания плагина на WP.ORG, обязательно имейте общую контактную форму или определенную страницу Детализация инструкций о том, как люди могут сообщать о проблемах безопасности, найденные в вашем коде.
Если вы магазин разработки, который имеет некоторое финансирование, вы также можете пожелать рассмотреть вопрос о регистрации для программы Bounty Bount, как хакерон или bugcrowd и используйте это как ваша точка контакта.
Что произойдет, если исследователь безопасности не может выяснить, как связаться с авторским плагином? Ну, тогда они доберутся до команды плагинов WP.ORG, чтобы выступить в качестве связей, чтобы получить, чтобы получить сортировку, а также сообщать о проблеме, разработчику.
Pro-наконечник: Если команда плагина подтверждает уязвимость, они, скорее всего, удаляют ваш плагин из REPO WP.ORG, пока у вас нет доступной патча.
2. Быть благодарным.
Чтение отчета о недостаточном недостаткам безопасности в вашей кодовой базе может привлечь некоторые негативные эмоции, особенно если у вас есть EGO связано в вашем коде. Попробуйте позволить любым негативным эмоциям сдвигаться, если они пузывают.
Он помогает занять секунду, прежде чем начать читать отчет, чтобы представить отчетную вечеринку как кого-то, кто уже вносил несколько часов своего собственного времени на ваш проект, бесплатно. Относитесь к ним, как вы бы кого-то, кто имел отличную идею или потянуть запрос, который улучшил ваш код, а не как угроза.
Это шаг, который я вижу, что все сломаются больше всего. Разработчик получает, что они воспринимают как, противное письмо от исследователя. Они берут личное оскорбление, потому что они считают, что они говорят, что их код плохой. Их реакция на это — отправить электронную почту, может быть, прерывает или унижать отчет, который запускает отрицательный нисходящий спираль от того, где нет положительного результата.
Будучи разработчиком, представьте, что проводить часы, способствующие бесплатному проекту, и когда вы представляете свои улучшения, проводящий проект выступил о воздействии или негативно к вашему вкладу. Вы бы чувствуете себя комфортно, способствуя вашему времени на этот проект снова? Возможно нет. Возможно ли, у вас может даже иметь чувства желания получить даже? Возможно.
Теперь представьте, что вклад был нахождение в безопасности? Этот исследователь безопасности имеет свои средства для того, чтобы получить даже прямо сейчас в отчете, который они отправили в проект добросовестно. Сделав эту же отчет о жестоком безопасности, делает его 0-дневным, сайты взломаны, репутация проекта запятнана, а разработчик все еще должен писать и протолкнуть патч.
3. Общаться.
Не оставляйте репортера из цикла, пока вы работаете на патче или просмотрите их отчет. Поделитесь своим прогрессом и временем, если у вас есть один, даже если это далеко от. Задавайте вопросы, если у вас есть какие-либо (некоторые из этих уязвимостей сбиваются в первый раз, когда вы прочитали о них, это потребовало меня некоторое время, чтобы действительно понять инъекцию объекта и его риск).
Если вы сообщите репортеру, вы сжимаете время, или у вас возникли проблемы с пониманием вопроса, или, возможно, даже просто спросить их свое мнение о предложенном патче, иногда они могут предложить помощь.
Имейте в виду, что лицо, сообщая о уязвимости, может иметь предположить, что они предполагали внутренние временные Разработчик в этом временном раме они могут просто сообщить об уязвимости публично, чтобы они могли закрыть дело и перейти к поиску более уязвимых. Не больно поддерживать связь, задавать вопросы или обмениваться сроками и/или знаниями.
4. Прозрачность.
Этот последний бит для пользователей вашего кода. Будьте уверены, что когда у вас есть релиз безопасности, вы включите примечание в изменении изменений, что выпуск содержит патч, связанный с безопасностью. Ваши пользователи должны знать, что версия выпустила решающую проблему безопасности, поэтому они знают, чтобы обновить как можно скорее. Скрытие или пренебрежение включением заметки безопасности из измененного файла вашего кода, не означает, что проблема безопасности никогда не существовала.
Пренебрежение включает в себя отметить, что версия программного обеспечения включает в себя патч безопасности — это просто распространение пользователей проекта. Если пользователи не видят, что в этом выпуске есть патч безопасности, то некоторые не будут беспокоить их сайты. Сайты, не получающие патчи безопасности, приводит к компромимеру сайтов. Худшая часть — во время фазы ответа на инциденту, чтобы очистить беспорядок, причинах взлома, будет отмечено небезопасность плагина как вина взлома.
Когда Pagely’s Weplyse Textlection компромисс, мы выполняем Подробный ответ инцидент Который, больше, чем просто уборка, потому что 99% времени мы будем включать детали о том, что было первоначальным вектором атаки. Очень распространено, что если причина взлома был плагином, разработчик которого игнорировал или воспроизводил проблему безопасности, владелец сайта выбирает, чтобы полностью удалить плагин с сайта. Понятно, что, поскольку владелец сайта чувствует себя преданным и теряет доверие, что разработчики проекта будут честными с ними о проблемах безопасности.
Это основы. Я надеюсь, что разработчики читают это, возьмут в сердце некоторые из соображений. Я считаю, что ничего не рекомендуется выше, нанес на нанесние репутации проекта и, по сути, я бы поспорил, что они улучшают репутацию проекта как бегая зрелыми разработчиками, которые заслужили доверие своего пользователя.
Для немногих исследователей безопасности, которые могут читать это, особенно если вы согласны с важностью выше четырех пунктов, вот наше предложение:
Я знаю, что некоторые из вас столкнулись с некоторыми трудностями при сообщении уязвимости в сообществе разработки WordPress в прошлом. Мы хотели бы предложить оливковую ветвь в форме помощи.
Если у вас был плохой опыт, сообщающий об этом уязвимости в сообществе разработки WordPress (Core, Themes, Plugins, что угодно), и хотел бы, чтобы мы помогли, пожалуйста, обратитесь в обращение (свяжитесь с нами через Pagely Contact Contact и кого-то Будет ли направлять уведомление о нашей команде безопасности).
Мы будем рады помочь вам найти точку контакта для плагина (у нас есть соединения в сообществе) и даже действуйте как посредники, рассмотрение/подтверждение вашего отчета и обращение к автору плагина от вашего имени!
Это было бы беспроигрышным. Вы можете потратить больше времени на поиск уязвимых уязвимостей и меньшим количеством пишущих электронных писем, пока мы помогаем пострадавшим проектом более безопасным.
Это предложение уже было введено в игру, мы помогли Славко Михайлоски Просто на прошлой неделе с отчетом уязвимости он нашел в Галерея Nextgen Отказ Мы бы с нетерпением ждем, чтобы помочь кому-либо еще (как разработчикам, так и исследователям), которые хотят работать в отношении решения, где уязвимости будут исправлены, кредитоспособность правильно приписано, а сайты не взломаны.
Мы надеемся, что эта дилемма может быть решена, надеемся, что наше предложение поможет выступить в качестве посредников, получит как разработчики по безопасности, так и разработчикам WordPress от дороги, которые приводят к выпуску 0 дней, и сайты взломаны, а на дороге сотрудничества и взаимной Понимание (и где хакеры должны сделать свою проклятую работу, чтобы найти уязвимости в экосистеме WordPress).
Оригинальный пост был опубликован главой безопасности Pagely в https://pagely.com/blog/wordpress-developers-security-researchers/
Оригинал: «https://dev.to/pagely/can-wordpress-developers-and-security-researchers-get-along-38jb»