上週,芝加哥是地球上最冷的地方!這件事上了新聞。氣溫降至攝氏 -30 度(-22 華氏度),風寒為 -50 度。我認為自己很幸運能夠親眼目睹這種罕見的極地渦旋。然而,我在芝加哥參加了另一場活動,雖然沒有成為新聞,但同樣令人興奮 – Google CMS 安全峰會。
來自 Google、不同 CMS 平台和託管公司的近 30 名頂級安全專家齊聚一堂,討論如何使互聯網成為每個人都更安全的地方。我認為自己更幸運能夠作為 SiteGround 的代表參與這次討論。
兩天來,我們與 WordPress、Drupal、Joomla!、PrestaShop、TYPO3、Squarespace、Symfony、Sucuri、Wordfence 等的代表進行了交談。看到在吸引最終用戶使用其平台時作為競爭對手的組織實際上如何能夠團結起來以實現使互聯網更安全的更高目標,這是令人鼓舞的。
我們幾乎贏得了 HTTPS 之戰,但安全戰爭從未結束
考慮到谷歌在網路安全方面的重要作用,谷歌組織這次活動也就不足為奇了。一個簡單的例子是 Let’s Encrypt 免費 SSL 計劃對加密採用的積極影響,該計劃得到了 Google 的大力支持。根據Chrome 統計數據, HTTPS 使用率已從 35% 增加到 90% 以上:
像 SiteGround 這樣向用戶提供 Let’s Encrypt SSL 的託管公司的努力也在加密的大規模採用中發揮了重要作用。然而,貝南電話號碼數據 儘管 90% 的採用率看起來不錯,但上圖也顯示出一些令人不安的情況。為了實現這個目標,花了三年多的時間。這時間太長了!我們聚集在芝加哥,站在安全戰的前線。加密固然很棒,但它並不能解決所有問題。網站仍然遭到駭客攻擊。近年來,CMS 平台遭遇了重大安全問題。第三方外掛和主題每天都在被利用。漏洞沒有得到適當的披露。這樣的例子不勝枚舉。
那麼,我們該如何盡快保護盡可能多的網站?
活動期間,安全社群確定了需要採取行動的四個主要領域。
1. 第三方元件和完整性控制
作為託管公司,我們親眼目睹了大多數安全問題是由不屬於核心平台程式碼庫的附加插件、模組和主題引入的漏洞引起的。
2018 年,SiteGround 編寫了 250 個新的自訂 WAF 規則來解決這些問題。我們知道,並非每個託管公司都有資源來監控安全公告、分析問題、比較修補程式、審查程式碼和編寫 WAF 規則。最終目標不是透過防火牆規則來解決類似問題(畢竟,所有 CMS 平台都有數十萬個外掛程式、什麼是線索,它們的用途是 模組、主題和擴充功能),而是從一開始就防止它們發生。
我們確定了以下需要改進的領域,以便更好地保護網站:
更好的外掛程式主題程式碼審查程序
靜態程式碼分析的實現
包簽名以提高 CMS/外掛程式/主題的真實性及其完整性
擴展開發人員的安全認證計劃
2. 漏洞披露及獎勵
確定了兩個主要問題。
儘管對於揭露軟體漏洞的最佳實踐存在一些共識,但實際上並沒有廣泛接受的官方標準。
最近,創建 PHP 標準的官方工作小組重新啟動了兩個文件的工作,艾鉛 並提出了旨在解決此問題的建議(PSR 9 和 PSR 10)。最終草案一旦準備好,社區就會發布。我們希望很大一部分 CMS 平台將採用這些標準。這樣,問題報告和解決的流程以及公眾的知情方式都將得到改善。
第二個問題是,目前大多數平台都沒有賞金計畫來獎勵人們負責任地揭露安全漏洞。這必須改變。然而,由於許多開源 CMS 平台都是作為非營利組織運作的,因此這將很難實現。