一个由 CMS 驱动的网站包含了 IT 安全噩梦的所有要素:它可以公开访问,它运行在连接性极强的强大机器上,并且底层系统在全球范围内被无数次使用,这使得它成为攻击者的诱人目标。
Joomla 安全突击队 (JSST) 正在努力确保这个噩梦不会成为 Joomla 用户的现实!
与 Joomla 项目中的任何其他团队一样,JSST 也是一个遍布全球的全志愿者团队。这种地理分布在我们的案例中非常重要,因为安全业务通常是时间紧迫的 - 拥有来自不同时区的成员是一个很大的优势,因为它使团队能够几乎 24/7 “值班”。
团队的工作可以分为 4 个不同的子任务
- **监控**:团队成员正在运行数十个密切监控的站点,以便尽快了解新的攻击场景。幸运的是,这些探测很少需要,因为 99% 的安全问题都会以机密方式告知团队,这让我们进入了下一个任务
- **问题处理**:当报告新的安全问题时,在任何其他操作之前都需要确认该报告。完成此操作后,团队开始深入了解详细信息,以验证问题并确定其危险程度。后面的部分非常重要,因为通常报告只是“冰山一角”,根本原因是不同的。我自豪地说,JSST 在这里做得非常出色,确保问题得到妥善解决
- **问题修复**:一旦确定了核心问题,就需要开发和测试修复程序。这里最大的挑战是用一个非常小的团队在没有机会获得第三方(即扩展开发人员)反馈的情况下测试尽可能多的场景
- **主动审计**:在将新功能合并到核心之前,JSST 会对包含在该功能中的新代码进行自动和手动检查。这是一种在问题真正出现之前就修复问题的好方法。
沟通是关键
除了技术方面,JSST 的工作还大量涉及与各种合作伙伴的持续沟通。
第一组合作伙伴是安全研究人员。
他们不断寻找 Joomla 核心中的未知问题,模拟攻击并向项目报告威胁。幸运的是,私下进行这些报告已成为行业标准,以便为供应商(在本例中为我们)提供足够的时间来修复问题并发布安全版本。这个过程称为负责任披露,效果非常好,我非常感谢我们的报告人员以如此专业的方式支持我们。作为对这些报告的回报,研究人员通常期望获得一些“可见性”(通过在安全公告中给予荣誉提供),最重要的是,他们期望得到一些赞赏和一对一的沟通。后者应该是理所当然的,但令人惊讶的是,在许多封闭和开源项目中并非如此,这就是 Joomla 因其与研究人员的沟通而经常获得积极反馈的原因。
第二组合作伙伴在过去几年中彻底改变了 JSST:网络托管商!
在 Joomla 世界中,我们经常看到许多站点在关键版本发布后遭到黑客入侵,因为 Joomla 站点所有者没有及时更新他们的安装 - “及时”在这里很有趣,因为对于真正严重的攻击,用户可能在第一次自动攻击开始之前只有 10 个多小时的时间。为了解决这些更新缓慢的用户,安全团队不仅提供实际的补丁,还提供有关如何使用服务器端措施过滤潜在攻击的说明。此信息在发布时与发布同时发送给全球众多网络托管商、安全公司和 CDN 提供商,以便这些公司只需单击一下即可添加过滤器规则来保护数百万用户。
最后但并非最不重要的是,团队还需要与 Joomla 社区进行沟通。我们需要与 CMS 维护团队联系以协调安全发布,我们与营销团队合作以确保重要信息传达给用户,我们还教育用户和开发人员了解安全相关主题,以总体上提高对适当安全措施重要性的认识。
Joomla 认真对待安全问题
JSST 承担着巨大的责任。我们的工作是保护数百万个网站免受攻击,并跟上不断出现的新的威胁场景。我可以自豪地说,该团队非常认真地对待这一责任,并且做得非常出色,不仅发挥被动作用并修复报告的问题,而且主动提高 CMS 的安全性。通过我们的手动和自动审计、监控以及针对新主要版本的体系结构安全增强,我们努力在问题出现之前解决问题。
我们防止您的安全噩梦变成现实!
David Jardin,JSST 团队负责人