Opensourceprojecten verslikken zich onnodig in bugmeldingen
Brandon Perry van Rapid7 voelde een aantal opensourceproducten aan de tand met het hackingtool MetaSploit. Daarbij vond hij in één van de producten een echte bug, terwijl 6 andere een kwestieus ontwerp hadden: er werden grote risico's genomen met de toegankelijkheid via het web van op zich legitieme beheersfuncties.
Shutterstock
Shutterstock
Hoewel dat strikt genomen geen bugs zijn, is het geen goed idee om een applicatie zo op te zetten dat een hacker meteen al zoveel beheersmogelijkheden krijgt als hij inloggegevens voor de applicatie weet te bemachtigen, stelt Rapid7.
Perry testte niet de meest populaire opensourceproducten, maar de 7 hebben met een gezamenlijk aantal downloads van 16 miljoen toch een aanzienlijke populariteit weten te verwerven. De minst populaire van de 7 is toch nog altijd 667.000 keer gedownload. Hoewel het dus niet om kleine projectjes gaat, bleek het een omslachtige klus om in contact te treden met de mensen achter deze opensourcesoftware. Alle 7 kenden een andere methode voor het melden van bugs, en het besef van de risico's van bugs en bugsmeldingen leek niet al te hoog.
Acht tips voor professionelere afhandeling van bugmeldingen
Rapid7 adviseert opensourceprojecten acht maatregelen om te zorgen dat bugmeldingen professioneler en veiliger worden afgehandeld:
- Zorg voor een specifiek, herkenbaar mailadres voor bugmeldingen. Security@[naam opensourcesoftware].com is een goed idee.
- Maak gebruik van een ondertekende PGP-sleutel.
- Publiceer je PGP-sleutel op een voor de hand liggende plaats op de eigen site of bijvoorbeeld bij een CERT.
- Sta erop dat communicatie over bugs versleuteld is zodat alleen betrokkenen kunnen meelezen.
- Bevestig ontvangst van bugmeldingen; dat is niet alleen beleefd maar voorkomt ook dat de ontdekker van de bug de publiciteit zoekt.
- Zorg dat je een contactpersoon bij het CERT hebt; dat maakt gecoördineerde bekendmaking van een probleem stukken makkelijker.
- Breng een patch uit; doe dat ook als het niet om een aanpassing in de code gaat die een bug verwijdert, maar bijvoorbeeld ook bij een aanpassing of verduidelijking in de documentatie om erop te wijzen hoe en onder welke omstandigheden een functie van de software misbruikt kan worden.
- Maak actief bekend dat er een probleem is gevonden en gepatcht, zodat je klanten voor de bewustwording niet afhankelijk zijn van nogal specialistische kanalen die alleen getrainde beveiligingsprofessionals volgen.
Meer informatie is te vinden op het blog Security Street van Rapid7.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee