אבטחה ופתיחות בדרופל

דרופל מאובטח

כיצד דרופל, כאחת ממערכות הקוד-פתוח הגדולות ביותר בעולם, מצליחה לשלב פתיחות ואבטחה.

הכתבה מבוססת על תרגום מאנגלית עם תיקונים ושינויים. משם גם התמונות. אני מבקש להודות לאלי רוטנברג על התרגום הראשוני של הכתבה, אותו שכתבתי ושיניתי על מנת שיתאים לקורא הישראלי. ספקי דרופל ואחרים מוזמנים להעתיק את הכתבה לאתריהם או אף לשכתבה תוך הוספת קישור לעמוד http://practicall.co.il/1/node/625).

מצב אבטחת הקוד בדרופל

רמת הגימור המוצעת בדרופל היא תוצאה של עשור של עבודה. היא שומרת על נוכחות אינטרנטית של אלפי עסקים, מוסדות פוליטיים ומדיניים, אוניברסיטאות וכו' ברחבי העולם כולו. כיום, בזכות הסטנדרטיזציה המתמשכת של המערכת, אם תתחיל לכתוב קוד לדרופל – יש סיכוי שייעשה שימוש בקוד שלך במערכות דרופל המותקנות ברחבי העולם. כמובן, הקוד תואם את רמת הדרישות של בנקים, ממשלות וכן הלאה משום שהמערכת מפותחת לא רק על-ידי אנשים שזהו התחביב שלהם אלא גם על-ידי אנשים שזהו המקצוע שלהם. המערכת גם מתמודדת בהצלחה כנגד אלה המנסים לפרוץ אותה.

אבטחה וקוד פתוח משלבים כוחות

הפתיחות של המערכת והאבטחה הנדרשת ממנה אינם נוגדים זה את זה. פתיחת הקוד לקהילה מספקת לך אבטחה מוצלחת יותר, שעובדת על העיקרון "מה שרואים משם לא רואים מכאן" – משום שכל חברי הקהילה יוכלו לעזור לך למצוא את השגיאות שאתה עצמך לא מצאת. לדרופל יש אלפי מתכנתים בקהילה. כאשר אחד מן האנשים מתקן שגיאה (bug) של המערכת, העדכון יגיע גם למערכת שלך. מרכז הקוד של דרופל (היכן שמפעל הקוד הקהילתי הזה קיים) נבדק בקביעות קפדנית שוב ושוב על-ידי מספר גורמים מומחים שונים מרחבי העולם – מממשלות, ועד חברות מסחריות גדולות, הכול על-מנת לבדוק שמערכת דרופל היא אכן הבחירה הנבונה ביותר לתכנים היקרים שלהן, ושלך.

ערנות להגנת האבטחה. ניסיון למנוע בעיות אבטחה

קוד לא מאובטח מכיל לרוב בעיות החל מהשלב הראשוני ביותר. הניסיון הנרחב של המתכנתים של דרופל מונע את רוב התקלות החל מהשלב הראשוני ביותר של הכתיבה (alpha version). זאת הסיבה להתמדה של צוות האבטחה של דרופל בהובלת המאמצים האדירים בשיפור ועזרה לקהילה – על-מנת שכאשר הקהילה כותבת קוד, יהא זה קוד תקין העומד בסטנדרטים הגבוהים שמערכת דרופל מציבה לעצמה. המצגות, הלימודים המאורגנים, האירועים השונים וכו' - כולם מונהגים על-ידי קהילת דרופל. חברוֹת וחברי הקהילה גם משתפים ביניהם פודקאסטים, וובינארים (שיחות וידאו-ועידה פתוחות באינטרנט), תיעוד ודיונים שונים בנושאי אבטחת הקוד של דרופל.

הפצת הליבה (core) של דרופל ושחרור גרסאות יציבות. מה נתמך?

צוות האבטחה של דרופל עוזר בהתמודדות עם כמות עצומה של בעיות אבטחה אפשריות, אשר עלולות להתגלות במערכת גדולה כמו דרופל. הצוות מטפל ברכיבים (modules) אותם מפתחים המתכנתים עבור המערכת. הרכיבים בגרסאות הפיתוח השונות שלהם, כלומר, כאלה שהעבודה עליהן לא הסתיימה, לא מוכנסות להפצת הליבה; רכיבים כאלו אינם יכולים ליהנות מפריבילגיית צוות האבטחה של דרופל. לכן, בבואך לבחור להשתמש ברכיב זה או אחר, אנא דאג שאתה משתמש ברכיב ששוחרר באופן רשמי.

אודות צוות האבטחה של דרופל

צוות האבטחה של דרופל קיים משנת 2005 ומחליף מנהיגות מידי פעם. כמות עצומה של ניסיון, ידע וכישרון מופנים לצורך אבטחת המידע בדרופל. כיום, צוות האבטחה של דרופל הוא ישות בוגרת ומגוונת, המכילה כ-40 ממומחי אבטחת המידע הטובים בעולם. הצוות בודק בעיות שעלולות להימצא במקומות חבויים ונסתרים במערכת, כמו גם את הבעיות שצצות מעלה באופן בולט ומידי. חברי הצוות הם אנשים העובדים קשה ממגוון מדינות, בעיקר מאירופה וארה”ב. אנשי הצוות מגיעים לדרופל מסוכנויות ייעוץ, ממשלות, תאגידים, חברות המספקות שירותי דרופל, ארגונים ללא מטרות רווח וארגונים חינוכיים.

10 הצעדים לטיפול בבאג שנוקטת קהילת דרופל

  1. מציאת הבאג - כל אחד יכול לדווח לצוות האבטחה על באגים בהם נתקל. צוות האבטחה עצמו אף מחפש את הבאגים באופן יזום.
  2. הבאג מדוּוח באופן חשאי לצוות האבטחה - שהרי לא היינו רוצים לפרסם בריש גלי את הבאג טרם הטיפול בו.
  3. צוות האבטחה בודק את הבאג - הצוות בודק מהן ההשלכות על הגרסאות השונות של דרופל.
  4. מאומת איוּם אפשרי מהבאג - הצוות מתכנס לשם ניתוח הבעיה.
  5. מתחזק הרכיב מספק תיקון לבאג - צוות האבטחה מספק לו תמיכה לשם כך.
  6. הטיפול נבדק על ידי צוות האבטחה - שלבים 4 עד 6 מבוצעים שוב ושוב על שאין הסתייגות לפתרון מבחינת אבטחה.
  7. טלאים לקוד מסופקים ונבדקים - קטעי הקוד החלופיים נבדקים בהקשריהם.
  8. הגרסאות החדשות מתפרסמות - מועלות גרסאות חדשות בעמודי הרכיב.
  9. המלצות אבטחה מפורסמות במדיה חברתית - העדכונים מפורסמים ברשתות חברתיות שונות, רסס ואימיילים.
  10. גרסאות חדשות מעודכנות באתרים - מתחזקי האתרים מעדכנים את הגרסאות של האתרים שלהם.

תהליך הטיפול בבאג באופן חזותי:

אבטחה בדרופל

Drupal report. Permalink: http://practicall.co.il/1/node/625