Infographic: Drupal kết hợp nguồn mở, tính mở và an ninh như thế nào

Infographic:How Drupal combines open source, openness, and security

Posted 12 Mar 2012 byJeffrey A. McGuire

Theo:http://opensource.com/life/12/3/how-drupal-combines-open-source-openness-and-security

Bài được đưa lênInternet ngày: 12/03/2012

Lờingười dịch: Bài giải thích về sự kết hợp giữanguồn mở, tính mở và an ninh của hệ quản trị nộidung (CMS) nguồn mở nổi tiếng nhất thế giới hiện nay,Drupal, với 10 bước. Ai cần bảo vệ và vì sao? Làm thếnào hệ quản trị nội dung (CMS) nguồn mở lớn nhất thếgiới kết hợp được tính mở và an ninh. Quan niệm “anninh vì sự tù mù” đã được chứng minh là hoàn toànSAI. “an ninh và nguồn mở đi tay trong tay - điều cóthể thể như là một sự ngạc nhiên cho những ai giảthiết rằng “an ninh bằng sự tù mù” mới thực sựlàm việc. Việc ẩn dấu đằng sau việc cấp phép sởhữu độc quyền hoặc mã nguồn được biên dịch và hyvọng không ai để ý tới các lỗi an ninh còn chưa được giảiquyết là một công thức cho thảm họa. Việc có mãnguồn của bạn được mở cho bất kỳ ai có thể làmcho an ninh được cải thiện - bất kỳ ai cũng có thểthấy và sửa một vấn đề. Làm việc với một cộngđồng hàng ngàn lập trình viên làm nhân lên những lợiích; bất kỳ ai sửa lỗi cũng làm cho lỗi của bạn trởnên được sửa. Các chuyên gia an ninh từ các chính phủvà các công ty lớn trên thế giới bản thân họ thườngxuyên soi xét kỹ lưỡng kho mã nguồn của Drupal và đãđánh giá nó an ninh đủ cho các ứng dụng sống còn củahọ”. Xem thêm: [01],[02],[03],[04].

Drupal đã trải qua từphòng ngủ tập thể tới phòng của hội đồng quản trịtrong một thập niên kể từ ngày được tạo ra. Nó trangbị cho những hiện diện web của hàng trăm ngàn doanhnghiệp, chính phủ, đại học và các cơ quan khác trênthế giới. Việc phát triển mã nguồn cho Drupal bây giờcó nghĩa là việc viết mã nguồn mà có thể được sửdụng trong bất kỳ site nào. Bất chấp là nó đi từngười chơi theo sở thích hay là dân chuyên nghiệp toànthời gian, thì mã nguồn của Drupal cũng phải đáp ứngđược những yêu cầu an ninh rất nghiệm ngặt của cácngân hàng, các nhà cung cấp y tế, và các chính phủ,trong khi vẫn giữ một bước trước đối với nhữngngười cố gắng thâm nhập vào trong các hệ thống nhưvậy.

Anninh và nguồn mở đi với nhau tay trong tay

Qui trình an ninh củaDrupal cần phải được triển khai nhanh chóng và thậntrọng để giúp sửa các vấn đề trước khi chúng trởthành được biết hoặc được khai thác một cách rộngrãi. Tuy nhiên, an ninh và nguồn mở đitay trong tay - điều có thể thể như là một sự ngạcnhiên cho những ai giả thiết rằng “an ninh bằng sự tùmù” mới thực sự làm việc. Việc ẩn dấu đằng sauviệc cấp phép sở hữu độc quyền hoặc mã nguồn đượcbiên dịch và hy vọng không ai để ý tới các lỗi anninh còn chưa được giải quyết là một công thức cho thảmhọa. Việc có mã nguồn của bạn được mở cho bất kỳai có thể làm cho an ninh được cải thiện - bất kỳ aicũng có thể thấy và sửa một vấn đề. Làm việc vớimột cộng đồng hàng ngàn lập trình viên làm nhân lênnhững lợi ích; bất kỳ ai sửa lỗi cũng làm cho lỗicủa bạn trở nên được sửa. Các chuyên gia an ninh từcác chính phủ và các công ty lớn trên thế giới bảnthân họ thường xuyên soi xét kỹ lưỡng kho mã nguồncủa Drupal và đã đánh giá nó an ninh đủ cho các ứngdụng sống còn của họ.

Whoneeds protecting and why? How the world's largest open source CMScombines openness and security.

Drupalhas gone f-romdorm room to board room in decade since its creation. It powersthe web presences of hundreds of thousands of businesses,governments, universities, and others around the world. Developingcode for Drupal now means writing code that could be used on any ofthose sites. Whether it comes f-rom passionate hobbyist or full-timeprofessional, Drupal's code must meet the very strict securityrequirements of banks, health-care providers, and governments, whilekeeping one step ahead of those trying to break into such systems.

Securityand open source go hand-in-hand

Drupal'ssecurity process does need to be carried out quickly and discreetlyto help fix problems before they become widely known or exploited.Nonetheless, security and open source go hand in hand – this maycome as a surprise to those who assume that "security byobscurity" actually works. Hiding behind proprietary licensingor compiled code and hoping no one notices security flaws that havenot been addressed is a recipe for disaster. Having your code open toanyone can result in greatly improved security – anyone can findand fix a problem. Working with a community of thousands ofdevelopers multiplies the benefits; anyone else's bug fix becomesyour fixed bug, too. Security experts f-rom the world's governmentsand largest companies regularly scrutinize Drupal's codebase forthemselves and have judged it secure enough for theirmission-critical applications.

Côngviệc bắt đầu trước khi các vấn đề an ninh nảy sinh- nhận thức về an ninh chủ động tích cực

Mã nguồn không anninh thường bị lỗi từ ban đầu. Có những thực tiễntốt nhất rằng các lập trình viên nên bám theo để ngănchặn đại đa số các vấn đề về an ninh ngay từ đầu.Vì lý do này, Đội An ninh Drupal chĩa mũi nhọn không biếtmệt vào những nỗ lực đang diễn ra để giáo dục vàgiúp cho cộng đồng Drupal ngăn chặn các vấn đề an ninhnảy sinh. Họ tiến hành những trình diễn và huấn luyệntại các sự kiện và các hội nghị cộng đồng Drupal,đưa ra các hội thảo web, viết các tài liệu trực tuyếntự do, và duy trì một nhóm chung để thảo luận về cácvấn đề có liên quan tới an ninh của Drupal.

Cáigì được hỗ trợ? Nhân Drupal và các module phát hành ổnđịnh

Đội An ninh Drupal hỗtrợ quản lý đại đa số các vấn đề an ninh thông quadự án Drupal và các module cài cắm được đóng góp củanó. Các module với các phát hành “phát triển” là mộtngoại lệ; các module mà không có phát hành ổn định hỗtrợ (“1.0”, “2.1”, ...) không thể nhận được lợiích của việc giám sát của Đội An ninh. Neus bạn đangxem xét sử dụng một module với chỉ các phát hành “pháttriển” hoặc “beta” cho một ứng dụng sống còn, thìkhuyến khích người duy trì module đó tạo ra một pháthành “x.0” ổn định, được hỗ trợ.

VềĐội An ninh Drupal

Dự án Drupal đãchính thức hóa sự tồn tại của Đội An ninh vào năm2005 và quay vòng sự lãnh đạo của đội theo chu kỳ. Mãnguồn không thường “bỗng nhiên trở nên an ninh” được,mà một số vấn đề có thể phảng phất và khó nhậnra. Sự nổi lên của các công nghệ mới có thể làm chocác vấn đề nhìn thấy được theo các cách mới. Nhiềukỹ năng, tri thức và kinh nghiệm làm cho Drupal an ninh nhấtcó thể. Đội An ninh Drupal bây giờ là trưởng thành,nhóm đa dạng, hiện gồm khoảng 40 chuyên gia an ninh webhàng đầu thế giới (không ai trong số họ là ngườimáy, bất chấp kỹ năng và hiệu quả của họ). Họ giámsát và phân tích các vấn đề mà thu hoạch được “trongcác chiến hào” và làm việc để cải thiện an ninh củadự án Drupal. Các thành viên của đội là những ngườitình nguyện chuyên tâm từ các quốc gia ở 3 châu lục,bao gồm những người sống ở Bỉ, Canada, Anh, Pháp, Đức,Hungary, Iraland, Nhật và Mỹ. Đội này lôi kéo các thànhviên từ các nhà tư vấn, các nhà cung cấp dịch vụDrupal, các nhà thầu chính phủ và những người sử dụngđầu cuối Drupal, bao gồm cả các tổ chức phi lợinhuận, vì lợi nhuận và giáo dục.

Workbegins before security issues arise – proactive security awareness

Insecurecode is usually flawed f-rom the start. There are best practices thatdevelopers should follow to nip the vast majority of securityproblems in the bud. For this reason, the Drupal Security Teamtirelessly spearheads ongoing efforts to educate and help the Drupalcommunity prevent security issues f-rom arising. They conductpresentations and training at Drupal community events andconferences, give webinars, write free online documentation, andmaintaina public group to discuss Drupal security-related issues.

Whatis supported? Drupal core and stable release modules

TheDrupal Security Team assists in handling the vast majority ofsecurity issues across the Drupal project and its contributed,plug-in modules. Modules with "development" releases are anexception; modules without a supported stable release ("1.0","2.1", etc.) cannot receive the benefit of the SecurityTeam's oversight. If you are considering using a module with only"development" or “beta” releases for a criticalapplication, encourage the module's maintainer to cre-ate a stable,supported "x.0" release.

Aboutthe Drupal Security Team

TheDrupal project formalized the existence of its Security Team in 2005and rotates team leadership periodically. Code doesn't usually"suddenly become insecure", but some issues can be subtleand hard to spot. The rise of new technologies can make problemsvisible in new ways. A great deal of skill, knowledge and experiencegoes into making Drupal as secure as possible. The Drupal SecurityTeam is now a mature, diverse group, currently comprising around 40of the world's leading web-security experts (none of them robots,despite their skill and efficiency). They monitor and analyzeproblems that crop up "in the trenches" and work to improvethe security of the Drupal project. Members of the team are dedicatedvolunteers f-rom countries across 3 continents, including residents ofBelgium, Canada, England, France, Germany, Hungary, Ireland, Japan,and the United States. The team draws members f-rom consultancies,Drupal service providers, government contractors and Drupal'send-users, including non-profit, for-profit and educationorganizations.

Quitrình đưa ra An ninh

1. Chỗ bị tổn thương trong mã nguồn được phát hiện. Những người săn lỗi là ở khắp nơi! Bất kỳ ai cũng có thể nhận diện và báo cáo một vấn đề an ninh cho đội, bao gồm bản thân đội đó, những người duy trì các module, Cộng đồng Drupal rộng lớn hơn, các nhà nghiên cứu an ninh có quan tâm trong Drupal, và bạn. Để báo cáo một vấn đề, hãy đọc và tuân theo Cách báo cáo một vấn đề an ninh trên drupal.org.

2. Vấn đề được báo cáo riêng cho Đội An ninh. Các vấn đề an ninh nên được quản lý một cách bí mật. Một ngoại lệ là nếu một chỗ bị tổn thương yêu cầu các quyền cao cấp hoặc truy cập để khai thác - ví dụ, khả năng để quản trị các bộ lọc hoặc những người sử dụng. Trong những trường hợp đó, Đội An inh khuyến khích những người duy trì các module sửa các vấn đề một cách công khai vì họ không đại diện cho mối đe dọa của riêng mình và họ làm cứng cáp thêm cho hệ thống khi được triển khai. Xem Chính sách Cố vấn An ninh Drupal để có thêm các chi tiết.

3. Vấn đề được xem xét lại, tác động tiềm tàng tới tất cả các phát hành Drupal được hộ trợ được đánh giá. Có 2 loạt phát hành chính (6.x và 7.x) được hỗ trợ bất kỳ lúc nào. Bạn nên chạy luôn và cập nhật phiên bản hiện hành nhất của các loạt bạn đang sử dụng. Xem Chọn một phiên bản Drupal để có thêm chi tiết.

4. Nếu mối đe dọa là hiện thực, Đội An ninh được huy động để phân tích. Người duy trì được thông báo.

TheSecurity Release process

1.  Vulnerability in code discovered. Bug hunters are everywhe-re! Anyone can identify and report a security issue to the team, including the team itself, module maintainers, the broader Drupal Community, security researchers interested in Drupal, and you. To report an issue, read and follow How to report a security issue on drupal.org.

2.  Issue reported privately to Security Team. Security issues should be handled confidentially. The one exception is if a vulnerability requires advanced permissions or access to exploit – for example, the ability to administer filters or users. In these cases, the Security Team encourages module maintainers to fix these issues publicly because they don’t represent a threat on their own and they further harden the system when implemented. See the Drupal Security Advisory policy for further details.

3.  Issue reviewed, potential impact on all supported Drupal releases evaluated. There are two major release series (6.x, 7.x, etc.) supported at any given time. You should always run and up-date to the most current version of the series you are using. See Choosing a Drupal version for further details.

4.  If the threat is valid, Security Team mobilized for analysis. Maintainer notified.

5. Maintainer fixes issue. Security Team provides support. Maintainers, testers, and other interested parties are granted access to the issue on a private, secure issue tracker to collaborate on a solution.

6. Fixes reviewed and discussed. Steps 4 though 6 are repeated until the Security Team and module maintainer are satisfied the security issue has been addressed.

7. Code patches cre-ated and tested. The new code is tested to make sure it doesn't introduce other security issues or break the module in question.

8. New, fixed versions made available on Drupal.org

9. Security advisory written and published via website, newsletter, RSS, Twitter, social media, etc. Sign up for the Drupal security newslett on Drupal.org. Follow @drupalsecurity on Twitter. Follow these RSS feeds for core: http://drupal.org/security/rss.xml and contributed modules: http://drupal.org/security/contrib/rss.xml

10. New versions deployed on all sites. The "Available up-dates" report (at admin/reports/up-dates in Drupal 6.x and 7.x) on your Drupal site will tell you if your Drupal core and contributed module versions are up-to-date and give you download links and release notes for any new versions. Up-dates are not automatic and need to be carried out regularly to keep your code up-to-date and your site as secure as possible.

1. Người duy trì sửa vấn đề. Đội An ninh đưa ra sự hỗ trợ. Những người duy trì, kiểm thử, và các bên khác có quan tâm được trao sự truy cập tới vấn đề về người theo dõi vấn đề an ninh, riêng để cộng tác về một giải pháp.

2. Các sửa lỗi được xem xét lại và được thảo luận. Các bước 4 tới 6 được lặp cho tới khi Đội An ninh và người duy trì module thỏa mãn là các vấn đề đã được giải quyết.

3. Các bản vá mã nguồn được tạo ra và được kiểm thử. Mã nguồn mở được kiểm thử và chắc chắn nó không đưa ra các vấn đề an ninh khác hoặc làm vỡ module đó theo yêu cầu.

4. Các phiên bản mới, được sửa lỗi được làm cho sẵn sàng trên Drupal.org.

5. Tư vấn an ninh được viết và được xuất bản thông qua website, thư tin, RSS, Twitter, phương tiện xã hội, ... Hãy đăng ký cho thư tin an ninh Drupal trên Drupal.org. Hãy theo @drupalsecurity trên Twitter. Hãy theo RSS cấp tin cho nhân tại: http://drupal.org/security/rss.xml và các module được đóng góp tại: http://drupal.org/security/contrib/rss.xml.

6. Các phiên bản mới được triển khai trên tất cả các site. Báo cáo “Các bản cập nhật sẵn sàng” (ở admin/reports/up-dates in Drupal 6.x and 7.x) trên site Drupal của bạn sẽ nói cho bạn liệu nhân Drupal của bạn và các phiên bản module được đóng góp có được cập nhật hay không và trao cho bạn các đường liên kết để tải về và các lưu ý phiên bản cho bất kỳ phiên bản mới nào. Các cập nhật là không tự động và cần phải được triển khai thường xuyên để giữ cho mã nguồn của bạn được cập nhật và site của bạn là an ninh nhất có thể

Nếusite Drupal của bạn bị hack hoặc làm mất mặt

Hãy giúp ngăn chặnsự việc không hay này xảy ra cho những người khác! Dùkhông thể hỗ trợ trong những trường hợp riêng rẽ,Đội An ninh mong muốn nghe về kinh nghiệm của bạn, đểbảo vệ tốt hơn cộng đồng Drupal một cách toàn bộ.Bạn có thể sử dụng mẫu template ở trang “Site củatôi đã bị làm mất mặt. Bây giờ là gì?” để chophép họ biết điều gì đã xảy ra.

Cáctài nguyên

Để có thông tin sâuhơn, hãy đọc Báo cáo An ninh Drupal tạihttp://drupalsecurityreport.org.

Tất cả các tưu vấnan ninh hiện hành cũng như thông tin về cách đăng ký vàothư tin an ninh của Drupal, hãy liên hệ đội an ninh, vàhơn nữa được liệt kê tại http://drupal.org/security.

• Cấu hình an ninh http://drupal.org/security/secure-configuration

• Viết mã an ninh http://drupal.org/writing-secure-code

• Tổng quan về Đội An ninh, bao gồm cách liên hệ với đội và các vấn đề báo cáo http://drupal.org/security-team

• Sách về An ninh Drupal http://crackingdrupal.com/

• Kho tri thức Người trinh sát Drupal tại http://drupalscout.com/

• Nhóm thảo luận các chủ đề an ninh http://groups.drupal.org/best-practices-drupal-security

• Báo cáo một vấn đề về an ninh http://drupal.org/node/101494

• Nếu site của bạn bị hack hoặc làm xấu mặt: http://drupal.org/node/213320

Cảm ơn

Ifyour Drupal site is hacked or defaced

Helpprevent this unfortunate occurrence f-rom happening to others! Thoughunable to assist in individual cases, the Security Team would like tohear about your experience, in order to better protect the Drupalcommunity as a whole. You can use the template at the page "Mysite was defaced. Now what?" to let them know what happened.

Resources

Formore in-depth information, read the Drupal Security Report athttp://drupalsecurityreport.org.

Allcurrent security advisories as well as information on how tosubscribe to the Drupal security newsletter, contact the securityteam, and more are listed at http://drupal.org/security.

• Secure configuration http://drupal.org/security/secure-configuration

• Writing secure code http://drupal.org/writing-secure-code

• Security Team overview, including how to contact the team and report issues http://drupal.org/security-team

• Book on Drupal Security http://crackingdrupal.com/

• The Drupal Scout knowledge base at http://drupalscout.com/

• Discussion group for security topics http://groups.drupal.org/best-practices-drupal-security

• Reporting a security issue http://drupal.org/node/101494

• If your site is hacked or defaced http://drupal.org/node/213320

Thanks

Chúng tôi cảm ơntrước và hơn hết đối với những người tình nguyệntrong Đội An ninh Drupal. Chúng tôi đánh giá sâu sắc sựtận tụy của các bạn cho Drupal. an ninh, và web vận hànhtốt của chúng tôi.

Cảm ơn đặc biệttới Greg Knaddison, Lãnh đạo Đội An ninh Drupal, vì sựhiểu biết sâu sắc của bạn và giúp làm cho mọi thứđúng đắn!

Cũng cảm ơn tớimogdesign và Acquia về việc giúp giải thích qui trình phứctạp và quan trọng này.

Hãylan truyền

Thông tin đồ họa“Giữ cho Drupal An ninh - 10 bước cho một Phát hành Anninh Drupal” được cấp phép theo một Giấy phép Khôngchuyển của Creative Commons Attribution - NoDerivs 3.0. Hãy tảynó về và lan truyền nó.

Ourthanks goes out first and foremost to the volunteers on the DrupalSecurity Team. We deeply appreciate your dedication to Drupal, oursecurity, and a well-functioning web.

Specialthanks to GregKnaddison, Drupal Security Team Lead, for your insight and helpgetting all this right!

Thanksalso to mogdesign and Acquia forhelping explain this complex and important process.

Spreadthe word

Theinfographic "Keeping Drupal Secure - Ten steps to a DrupalSecurity Release" is licensed under a CreativeCommons Attribution-NoDerivs 3.0 Unported License. Downloadit and spread the word.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com