Служба безопасности под названием Plugin Vulnerabilities, основанная Джоном Гриллотом, принимает подход бдительности к рассмотрению жалоб против WordPress.org модераторов форума поддержки. Компания протестует против действий модераторов, публикуя уязвимости нулевого дня (те, для которых не было выпущено исправление), а затем пытаясь связаться с автором плагина через форумы WordPress.org поддержки:
Из-за модераторов WordPress Поддержка Форума продолжает неуместным поведением мы полностью раскрытия уязвимостей в знак протеста, пока WordPress получает, что ситуация очищена,поэтому мы выпускаем этот пост и то только пытается уведомить разработчика через WordPress форум поддержки. Вы можете уведомить разработчика об этом вопросе на форуме, а также. Многообещающе модераторы окончательно увидят свет и очистят вверх их поступок скоро, поэтому эти полные разоблачения no longer не будут необходимы (мы надеемся они кончаются скоро).
В связанных инцидентов, упомянутых выше, Грилло утверждает, что модераторы удалили его комментарии, скрывали проблемы безопасности вместо того, чтобы пытаться исправить их, и способствовали определенные компании безопасности для фиксации взломанных сайтов, среди других жалоб.
В ответ на это Компания Plugin Vulnerabilities опубликовала ряд уязвимостей с полным раскрытием информации с момента начала акции протеста в сентябре 2018 года. Эти сообщения подробно точное местоположение уязвимостей в коде, а также доказательство концепции. Сообщения следуют с попыткой уведомить разработчика через форум WordPress.org поддержки.
Грилло сказал, что он надеется вернуться к предыдущей политике Plugin Vulnerabilities ответственного раскрытия информации, но не прекратит протест до тех пор, пока модераторы форума WordPress.org поддержки не будут соответствовать списку того, что он изложил как «соответствующее поведение».
Руководство WordPress по безопасности в настоящее время переживает переходный период после того, как Аарон Кэмпбелл, глава WordPress Ecosystem в GoDaddy, ушел со своего поста главы службы безопасности в декабре 2018 года. Инженер-технический счет компании Automattic Джейк Сперлок координирует выпуски, в то время как выбирается следующий человек, который будет спорить с командой. Это заявление было сделано в #security канале, но Джозефа Хейден сказал Есть планы на более публичный пост в ближайшее время. Кэмпбелл хотел опубликовать подробности о том, почему он ушел в отставку, но сказал, что он думает, что важно повернуть эту роль, и что «дополнительный приток свежей энергии в этой позиции действительно здоров».
Когда его спросили о протестах уязвимостей Plugin против WordPress.org, Сперлок сослался на руководящие принципы ответственного раскрытия информации на WordPress’ Hackerone профиля. Она включает в себя следующую рекомендацию относительно уязвимостей публикации:
Дайте нам разумное время, чтобы исправить проблему, прежде чем сделать любую информацию публичной. Мы глубоко заботимся о безопасности, но как проект с открытым исходным кодом, наша команда в основном состоит из добровольцев.
Сперлок сказал, что, поскольку эти руководящие принципы являются более уместными для основного, дело с сторонними плагинами является более сложным сценарием. В идеале автор плагина будет уведомлен первым, чтобы они могли работать с командой плагинов, чтобы нажать обновления и удалить старые версии, которые могут содержать эти уязвимости.
«Проект с открытым исходным кодом WordPress всегда ищет ответственное раскрытие уязвимостей в системе безопасности», — сказал Сперлок. «У нас есть процесс раскрытия для плагинов и для основных. Ни один из тезисов процессов включают размещение 0-дневных подвигов «.
Grillot не ответил на нашу просьбу о комментарии, но последние сообщения компании в блоге утверждают, что после ответственного раскрытия информации в прошлом иногда приводит к уязвимости время «покрыты», и даже иногда вызывают их идти нефиксированных.
модераторы форума WordPress.org поддержки не позволяют людям сообщать об уязвимостях на форумах поддержки или участвовать в обсуждении уязвимостей, которые остаются неисправленными. Предпочтительным средством для отчетности является электронная почта plugins@wordpress.org так плагины команда может работать с авторами патч плагинов своевременно.
Тем не менее, в диком западе мир плагинов, который включает в себя более 55000 размещенных на WordPress.org, Есть моменты, когда ответственное раскрытие разваливается, а иногда и не пользователей. Ответственное раскрытие информации не является идеальной политикой, но в целом оно, как правило, работает лучше, чем альтернатива. Служба уязвимостей Plugin даже заявляет, что они намерены вернуться к ответственному раскрытию информации после протеста, по существу признавая, что эта политика является лучшим способом сосуществовать с другими в плагин экосистемы.
В то же время публикация уязвимостей нулевого дня подвергает сайты потенциальным атакам, если автор плагина не доступен сразу для записи патча. Единственное, что WordPress.org можете сделать, это удалить плагин временно, пока исправить может быть освобожден. Эта мера защищает новых пользователей от загрузки уязвимого программного обеспечения, но ничего не делает для пользователей, которые уже имеют плагин активной. Если владельцы сайтов собираются защитить себя, отключив его до тех пор, пока не будет исправлено, они должны знать, что плагин уязвим.
Спорный протест Plugin Vulnerabilities, который некоторые могут даже назвать неэтичным, не может быть самым вдохновенным катализатором для улучшения подхода WordPress.org к безопасности. Это симптом более крупной проблемы. WordPress нуждается в сильном, видимом руководстве безопасности и команде с выделенными ресурсами для улучшения экосистемы плагина. Авторам плагина нужна более совершенная система уведомлений для консультирования пользователей важных обновлений безопасности внутри админа WordPress. Большинство пользователей не подписаны на отраслевые блоги и службы безопасности — они зависят от WordPress, чтобы сообщить им, когда обновление имеет важное значение. Уточнение инфраструктуры, доступной для разработчиков плагинов, и создание более упорядоченного потока безопасности имеет решающее значение для восстановления репутации экосистемы плагина.
Оригинал: wptavern.com