Вы здесь

Команда безопасности

Цели команды безопасности

  • Работа с сообщениями о проблемах с безопасностью
  • Просмотр кода на предмет возможных уязвимостей
  • Осуществление поддержки разработчиков дополнительных модулей по вопросам безопасности
  • Создание документации по написанию безопасного кода

Как сообщить о проблеме с безопасностью

Если вы обнаружите или узнаете о потенциальной ошибке, уязвимости или угрозе которая могла бы поставить под вопрос безопасность Друпала, пожалуйста, отправьте своё сообщение по почте команде безопасности: security@drupal.org. Сделайте детальное описание проблемы, версии Друпала, используемых модулях, версиях этих модулей и так далее. Если вам требуется зашифровать ваше сообщение, используйте ключ OpenPGP: 0xA1FDFAC2.

У команды безопасности есть свой подсайт: https://security.drupal.org.

Как мы работаем с полученными сообщениями

  • Делаем обзор проблемы и оцениваем потенциальное воздействие на все поддерживаемые версии
  • Если это очень серьёзная проблема, команда безопасности мобилизуется чтобы устранить её
  • Создаются новые версии и затем тестируются
  • Создаются новые пакеты и загружаются на drupal.org
  • Мы используем все доступные каналы связи, чтобы сделать известным то, что проблема с безопасностью была найдена и устранена, и какие меры должны быть приняты администраторами сайтов, чтобы защитить себя

Политика информирования о проблеме

Наша политика — полное раскрытие информации; мы никогда не будем умалчивать информацию о проблемах с безопасностью и надеяться на то, что это не будет обнаружено другими. Однако общественные объявления будут сделаны тогда, когда угроза будет устранена и будет доступна безопасная версия системы. Мы просим вас, сообщая о проблеме с безопасностью, пожалуйста, руководствуйтесь изложенными здесь принципами и после того, как проинформируете команду безопасности, не сообщайте о проблеме публично.

Какие версии поддерживаются?

  • Не все старые версии Друпала активно поддерживаются, только текущая и предыдущая (например, 5.x и 4.7.x). Версии Друпала, которые не поддерживаются, не будут получать выпуски исправлений, поэтому не рекомендуется использовать неподдерживаемые версии. Пожалуйста, перейдите на новые версии, чтобы вы могли извлечь пользу из выпусков исправлений
  • Свежие разработки (-dev, -beta, -rc) Друпала не могут безопасно использоваться, если проблемы с безопасностью установлены, но обновления ещё не выпущены. Если вы используете такие версии для тестирования или оценки, мы предполагаем, что вы обновляете свой код регулярно
  • Команда безопасности наблюдает за безопасностью страндартной сборки Друпала. Ответственность за безопасность дополнительных модулей лежит на разработчиках этих модулей (смотрите информацию об этом ниже)

Проблемы с дополнительными модулями

Как только мы узнаём о проблеме с безопасностью в дополнительном модуле, мы отправляем сообщение об этом разработчику модуля с крайним сроком ответа на запрос. Как только этот разработчик установит проблему, команда безопасности проконсультирует его как обновить модуль. Однако если разработчик не устранит проблему в крайний срок, мы опубликуем информацию об этом и уберём модуль с drupal.org.

Чем вы можете помочь?

Самая важная помощь, которую вы можете оказать — сделать обзор предложенных исправлений связанных с безопасностью. Вы можете также помочь сообщив о проблеме и работая вместе с командой над её устранением.