سیاست های امنیتی جنگو
بلاگ آکادمی لرن فایلز
جشنواره نوروزی با ۷۰ و ۸۵ درصد تخفیف ۲۴ ساعته فعال شد
دریافتبلاگ آکادمی لرن فایلز
امنیت و موضوعات امنیتی در راس برنامه های تیم های توسعهی نرم افزاری میباشند. جنگو به عنوان یک فریم ورک روبه رشد و قوی، با داشتن قابلیت ها و امکانات فراوان برای ایجاد مجموعهی عظیمی از برنامه ها و داده ها از این قائده مستثنی نیست. تیم امنیتی جنگو سعی کرده تا با ارائهی سیاست های امنیتی جنگو ، نسخه های کامل و گزارش های به موقع، تا حد زیادی از عواقب ناشی از مشکلات امنیتی جلوگیری کند.
تیم برنامه نویسی جنگو کاملا به گزارش های مسئولانه و شفاف سازی در زمینه ی موضوعات امنیتی متعهد می باشد. به همین دلیل، مجموعهای از سیاستهای امنیتی که ما را به آن ایده آل میرساند را دنبال میکنیم و معتقد هستیم ارائهی به موقع بروز رسانی های امنیتی در راستای نسخه های جدید جنگو، ما را به این هدف نزدیکتر می کند.
بیشتر باگ های جنگو در لینک جامعه ی برنامه نویسی ( https://code.djangoproject.com/query) ارائه و گزارش میشوند اما به دلیل طبیعت حساس بحثهای امنیتی، درخواست ما این است که این مشکلات به شکل عمومی منتشر نشوند.
در هر زمان، تیم جنگو پشتیبانی امنیتی برای نسخه های مختلف جنگو را به شکل زیر ارائه می کند:
وقتی نسخه های جدید به خاطر موضوعات امنیتی منتشر می شوند، نسخه های خراب و تحت تاثیر مشکلات یادشده به شکل یک لیست ارائه می شوند. نسخهها، مطمئنا تحت تاثیر آن دسته از مشکلات خواهند بود. اگر چه در لیست ارائه شده ممکن است قرار داده نشده باشند.
فرایند ارائهی یک موضوع امنیتی از بحث های خصوصی به مجامع، شامل مراحل مختلفی می شود. تقریبا بعد از دو هفته بعد از ارائهی عمومی مشکل، دو اعلان منتشر خواهد شد:
اولین، زمان و تاریخ دقیق ارائهی مشکلات امنیت خواهد بود. شدت و میزان خطر موضوع امنیتی مورد بحث قرار خواهد گرفت. هدف از این کار کمک به سازمانها برای اطلاع رسانی به کارمندان خود و برخورد به موقع و مفید با مشکل می باشد. موضوعات امنیت در جنگو از نظر شدت و خطر به دسته های زیر تقسیم میشوند:
اجرای کد های از راه دور
نفوذ به SQL
نوشتن کد ها برای سایت های مشابه XSS
جعل کد ها در بین سایت های مشابه CSRF
نفوذ به سیستم ورود به سایت
لو رفتن اطلاعات حساس
قطع شدن رابط های مدیریتی
دایرکت ها و فروارد های نامعتبر
مشکلاتی در زمینه ی گزینه های پیکر بندی خاص
دومین اعلان شامل لیستی از افراد و سازمان ها میشود که اکثرا نام ارائه کنندهگان سیستم عامل ها و سایر ناشرین جنگو خواهد بود. این ایمیل شامل یک کلید PGP یکی از اعضای تیم جنگو و اطلاعات زیر می باشد:
تشریح کامل موضوع امنیتی و نسخه های متاثر از آن.
مراحلی که باید برای حل مشکل انجام شوند.
پچ ها و افزونه هایی که برای جنگو( در صورت نیاز) ارائه خواهند شد.
تاریخی که تیم جنگو این افزونه ها را منتشر خواهد نمود.
اگر یک موضوع امنیتی به خاطر زمان، حساسیت بالایی داشته باشد، سعی خواهد شد پروسهی بحث و بررسی و گزارش عمومی در زمان کوتاه تری انجام شود.
به علاوه، اگر تشخیص داده شد که سایر ابزار ها و فریم ورک های Python نیز تحت تاثیر قرار دارند، تماس های محرمانه با تیم های توسعه و تلاش مشترک برای رفع مشکلات، در دستور کار قرار خواهد گرفت.
لیست کامل افراد و سازمان هایی که اعلان ها را دریافت می کنند به هیچ وجه منتشر نشده و نخواهد شد. هدف ما آن است که این لیست روز به روز کوچکتر شود تا بتوان بحث های حریم خصوصی و اطلاعات محرمانه را بهتر مدیریت کنیم. به همین دلیل هیچگاه لیستی از کاربران جنگو مخصوصا آن دسته که با مشکلات امنیتی برخورد کرده اند منتشر نخواهد شد.
درخواست برای دریافت این اعلانات
اگر احساس میکنید شما جزو آن دسته از افراد و سازمان هایی هستید که مشمول حضور در لیست های بالا میباشید، درخواست دریافت اعلان خود را به شکل رسمی به آدرس ایمیل security@djangoproject.com ارسال کنید.
باید اطلاعات زیر را در این ایمیل قرار دهید:
بعد از ارسال، درخواست شما توسط تیم توسعهی جنگو مورد بررسی قرار خواهد گرفت و تا سی روز کاری به شما پاسخ مناسب داده خواهد شد.
ارائهی گزارشات و اطلاع رسانی کامل و به موقع در مورد موضوعات امنیتی یکی دیگر از خصیصه های ناب و منحصر بفرد فریم ورک جنگو به عنوان قویترین فریم ورک Python میباشد. تیم امنیتی جنگو همیشه متعهد به شفاف سازی در زمینهی موضوعات امنیتی است ولی به دلیل حساسیت های موجود، برخی اطلاعات در این زمینه به شکل اعلانات و از طریق ایمیل برای کاربران و سازمان ها ارسال می شود که شرایط خاص آن در این مقاله مورد بحث قرار گرفتند.
به یاد داشته باشید که برای هر سازمان یا فردی، این اعلانات به عنوان یک امتیاز از سوی تیم جنگو ارسال خواهد شد و در صورت عدم ارسال، تیم جنگو هیچ مسئولیتی در مورد ارائه دلیل نخواهند داشت.