تمتلك黑板برنامجأمانقويًالايعملفقطعلىمنعظهورالمشكلاتالأمنية،بليستأصلهامنجذورهاأيضًا。تحرص黑板علىإجراءاختبارأمانداخليمتواصلعلىمستوىالرمز(التحليلالثابت)ومستوىالتطبيق(التحليلالديناميكي)لضماناستيفائهتوقعات黑板وتوقعاتعملائنا。علاوةعلىذلك،حتىنضعتطبيقاتناتحتأعينمراقبةجديدةبشكلمنتظم،تجراي黑板上ختباراختراقأمنيمنمقدميخدماتأمنيةخارجيين。ومنالمقررأنتخضعأيمشكلاتيتمرصدهاللإصلاحعلىوجهالسرعة。

    منالمهمأنتدركأنبرنامجالأمانفمي黑板上مارسةٌخاضعةللنضجوالتطور。فنحنلانتوانىعنالعملعلىالتحسينالمستمرلرفعمستوىالميزاتالأمنيةوالمتانةفيمنتجات黑板上。


    التصميم مع وضع الأمان في الاعتبار

    تلتزم黑板بتزويد عملائنا بتطبيقات آمنة。ومنثمفإن黑板لاتتوقفعنتطويرمنتجاتناوفقًالمجموعةمنإرشاداتهندسةالأمانالمستمدةمنالعديدمنالمنظماتمثلمشروعأمانتطبيقالويبالمفتوح(OWASP)،بمافيذلكتدابيرمضادةخاصةلأخطرعشرةثغراتأمنيةفيOWASP。كماتدمج黑板ممارساتالأمانهذهفيجميعمراحلدورةحياةتطويرالبرامج(SDLC)。

    تستخدم黑板عدةطرقلحمايةتطبيقاتنابمافيذلكتقييماتالأمانالتنازليةمنخلالنمذجةالتهديداتوتحليلهابالإضافةإلىاكتشافتصاعديلأيتهديدعلىمستوىالتعليماتالبرمجيةمنخلالتحليلثابتوتحليلديناميكيواختبارللاختراقاليدوي。

    黑板تتبعالإرشاداتالمتوفرةبشأنأفضلالممارساتمنالعديدمنالمنظماتللمساعدةعلىتعريزأمانمنتجاتناوبرامجنا。فيما يلي بعض من تلك المنظمات:

    • المعهد القومي للمعايير والتكنولوجيا (nist)
    • الشبكة الأوروبية ووكالة أمان المعلومات (enisa)
    • معهد无
    • مشروع أمان تطبيق الويب المفتوح (owasp)
    • تحالف أمان مجموعة النظراء (csa)

    نمذجةالتهديدات

    معتطويرميزاتجديدة،يحرصفريقالأمنعلىتقييمالمتطلباتوتصميمالنظامللمساعدةفيتخفيفالمخاطرعنطريقتنفيذنمذجةالتهديدات.علمًابأننمذجةالتهديداتعمليةٌمنظمةيتمخلالهاتحديدالتهديداتالأمنيةذاتالصلةبالميزةقيدالمراجعةبحيثيمكنالوقوفعلىالتدابيرالأمنيةالمناسبةوتطبيقها。


    الترميز الآمن وأخطر 10 ثغرات أمنية في owasp

    يتمتطويرمنتجات黑板وفقًالمجموعةمنإرشاداتالتطويرالمستمدةمنOWASP،والتيتشتملعلىتدابيرمضادةمحددةتتعلقبالثغرات الأمنية العشر الرئيسية في owaspلعام2013。

    A1: الهجوم عن طريق الحقن (حقن sql / dom / ldap) معيارالترميزالخاصبناهواستخداممتغيراتالربطوتجنبالقيمالحرفيةالمنسوخةفيعباراتSQL。تقتصر وظيفة ldap على المصادقة。
    A2: إدارة الجلسات والمصادقات المقطوعة لاتعملمنتجات黑板إلاضمنTLS،لذلكيتمتشفيرجميعملفاتتعريفالارتباط。
    A3: البرمجة النصية للمواقع المشتركة (xss) يتمتخفيفالبرمجةالنصيةللمواقعالمشتركةمنخلالاستخدامالمكتباتالمشتركةمثلESAPIومعاييرالتطوير。ومنالمتوقعأنيتمتمريرجميعالمدخلاتالنصيةالمقدمةمنالمستخدمالنهائيعبرأساليبالمطهر؛كماأنهمنالمتوقعأنيتمإنشاءأيأنواعأخرىمنالمدخلات(التواريخوقيمالتحديد/الاختيار)منكائناتالمجالالمكتوبة،بدلاًمننسخهامباشرةمنإدخالالمستخدم。
    A4: مراجع الكائنات المباشرة غير الآمنة تتمالإشارةإلىجميعكائناتالتطبيقاتعبر”معرفات”عادةًمايتمربطهابالمفتاحالأساسي。ومعذلك،يتمتعيينجميعالكائنات،ويتمإجراءجميعفحوصاتالأمانمقابل”سياق”。علىسبيلالمثال،قديشيرالطلبإلى”معرفالرسالة”،وهومنشورلوحةمناقشةلمقرردراسي。يتمثلمعيار黑板فيإجراءالتحققمنالتفويضللامتيازالمصاحبلدورالمستخدم。
    فيالحالاتالتييفشلفيهافرضهذاالمعياربشكلصحيح،يكونالإصلاحبسيطًا،نظرًالأنجميعكياناتالبياناتالمحميةفيالنظاممربوطةبسياقأمان(مقرردراسيأومجال)。
    答:التكوين الخاطئ للأمان تتبع黑板سياسةآمنةبشكلافتراضيمعالاستفادةمنملاحظاتالإصداروالوثائقعندمايكوناعتبارمسؤولالنظامالخاصمطلوبًا。黑板كماتشجعالعملاءعلىاتباعدليلأفضلممارساتالتكوينالآمنالذيتقدمهلهمعندمايتوفرويكونملائمًالمنتج黑板الخاصبهم。

    التدقيقالأمني
    يتم تسجيل الأحداث الأمنية في سجلات خاصة بالأمان。

    تسرب المعلومات ومعالجة الأخطاء
    يتمتطبيقمعالجةالأخطاءالقياسيةعلىجميعالصفحات(عبرقالبصفحةقياسيومكتبةوسوم)،ممايؤديإلىإخراجقياسيلجميعالأخطاء،وخاصةالأخطاءغيرالمعروفة。وقديتضمنالإخراجالقياسيتتبعالتكدس(تسربمعلوماتثانوي)،ولكنليسأيًامنالبياناتالتيكانتتتممعالجتهاعندفشلالطلب،ويكونمرئيًافقطلأولئكالذينلديهمحقالوصولعلىمستوىالمسؤول。بينماالمستخدمونالذينبلاامتيازات(مثلالطلاب)غيرقادرينعلىرؤيةتتبعاتالتكدساتالمفصلة。

    答:كشف البيانات الحساسة يتمثلمعيار黑板فيتجزئةكلماتمرورالمستخدمينوإضافةقيمةعشوائيةلهاباستخدامsha - 160。

    دعم منتجات黑板قيد التشغيل ضمنTLS؛ومعذلك،تقععلىجهةالتوزيعمسؤوليةتكوينTLSبشكلصحيحعندمايكونمنتجهامستضافًاذاتيًا。

    فقدان التحكم في الوصول إلى المستويات الوظيفية تتمإدارةذلكعلىمستويين——المطالبةبأنيقوممنطقالأعمالبفرضعملياتالتحققمنالتفويض،ومنخلالالحرصعلىأنتغطيحالاتاختبارضمانالجودةمتطلباتالتفويضلشاشاتمختلفة。
    A8: تزييف طلب مواقع مشتركة (csrf) يتبع الإطار الأمني الخاص بنا توصياتOWASPالخاصة بقيم nonce لكل طلب ودلالات POST فقط。تستخدم طلبات AJAX قيم nonce لكل جلسة。
    答:استخدام مكونات ذات ثغرات أمنية معروفة يتمتخفيفذلكمنخلالإجراءعملياتفحصمنتظمةبحثًاعنالثغراتالأمنيةعلىمستوىكلمنالبنيةالأساسيةوحزمالبرامجالتابعةلجهاتخارجيةلتحديدالمكوناتذاتالثغراتالأمنيةالمعروفةولوضعخطةلترقيةتلكالتيلهاتصحيحاتمتوفرة。
    A10:عملياتإعادةالتوجيهوإعادةالإرسالغيرالمتحققمنصحتها يتطلبمعيارالترميزالآمنفمي黑板上نعملياتإعادةالتوجيهوإعادةالإرسالأنتقومبالتأكيدعلىأنهاعناوينمحلية。يتم اختبار هذه الثغرة الأمنية بشكل منتظم。

    فئات الثغرات الامنيه السابقة في اعلي عشره owasp

    تنفيذالملفالضار لايتماستخدامالملفاتالتيتمتحميلهامنقبلالمستخدمينالنهائيينغيرالمميزينكملفاتتنفيذيه。ومعذلك،يجوزللمستخدمينالمتميزين(أيمسؤوليالنظام)تحميلحزمقابلةللتنفيذتسمى”الكتلالبرمجيةالإنشائية”التيتعملعلىتوسيعوظائفالنظام。ويتمالافتراضبانمسؤوليالنظامهذايفهمونالمخاطرويتبعونمراجعهموردالصوتوتغييرممارساتالادارهحولتثبيتايكتلبرمجيهانشائيهخارجيه。

    تمثلأيبياناتحولالتوقعاتالمستقبليةوالخططوالآفاقالخاصةلدى黑板وجهاتالنظرالحاليةللشركة。وقدتختلفالنتائجالفعليةماديًانتيجةللعواملالمهمةالمختلفة。كماتتوقعالشركةأنالأحداثوالتحسيناتاللاحقةستؤديإلىتغييروجهاتنظرالشركة。ومعذلك،فيحينأنالشركةقدتنتقيتحديثتلكالبياناتفيوقتمابالمستقبل،فإنالشركةتخليمسؤوليتهاعلىوجهالتحديدتجاهأيالتزامبالقيامبذلك。


    الالتزام بإدارة نقاط الضعف وسياسة الكشف

    يتمالتحكمفيبرنامجأدارهالثغراتالامنيهالخاصةبالم黑板نقبل”التزامالتحكمفيالواجهةالعامة”وسياسةالكشفأدناه。لايوجدموردبرامجمناسبفيالحدثالذيتمفيهتحديدمشكلهعدمحصانهالأمانفيمنتجتمإصداره،ويكونفريقالأمانالخاصبال黑板جاهزاللرد。

    للمساعدةفيتسجيلالدخول،يتعينعليكالاتصالبمكتبمساعدهتكنولوجياالمساعدةالخاصبمؤسسك。لايمتلك黑板حقالوصولإلىمعلوماتحسابمؤسستكأومواقعالويبأوالمحتوي。فيحالعدممعرفتكلكيفيةالاتصالبمكتبالمساعدة،حاولالبحثفيالويبعناسممؤسستك+مكتبالمساعدة،أوقمبالاطلاععلىصفحةتسجيلالدخولالخاصةبكللحصولعلىرابطالدعمأومعلوماتجهةالاتصال。

    وتلتزم黑板بحلالثغراتالامنيهبسرعةوبحرص。قديؤديوجودمثلهذهالمستوياتإلىنشرالنصائحالاستشاريةللامانو/أوايتحديثمنتجمطلوبلعملاءنا。لحمايةالعملاءوالبياناتالخاصةبهم،اطلبمنهذهالمشاكلالطريقةمسؤولوالكونفيدينتياليالتيأعلمنابأنهبإمكانناالتحققوالرد。

    وتعتبر منتجات黑板معقده。ويتمتشغيلهاعليالعديدمنعملياتتكوينالاجهزهوالبرامج،ويتمتوصيلهابالعديدمنتطبيقاتالجهاتالخارجية。تتطلبجميعتعديلاتالبرامج——كبيرهأوصغيره——التحليلالتام،بالاضافهإلىالتطويروالتنفيذعبربنودالمنتجاتوالإصداراتالمتعددة。ويجبانيخضعالبرنامجأيضاللترجمةوامكانيهالوصولوالاختبارالمناسبللنطاقوالتعقيدوالخطورةالخاصةبه。تمإعطاءالاهميهالهامهلمنتجاتناعليعملائنا،وينبغيعلي黑板ضمانتشغيلهابشكلصحيحفقطفي”تسهيلاتالاختبار”الخاصةبنا،ولكنهاأيضافيبيئاتالعملاء。وعليالرغممنذلك،لايمكن黑板توفيرتحديثاتالمنتجاتوفقالمخططزمنيمعين،ولكنناتلتزمبالعملاكسبيديتيوسلي。

    غالبًاماتستغلالجهاتالضارةالثغراتالأمنيةفيالبرامجعنطريقالهندسةالعكسيةلإرشاداتالأمانالمنشورةوتحديثاتالمنتجات。ومنالمهمانيقومالعملاءبتحديثالبرنامجبشكلفوريواستخدامنظامتصنيفالخطورةالخاصبناكدليللجدولهالترقياتبشكلأفضل。

    اختبار مشاكل عدم حصانه الأمان

    ينبغيانتقومباجراءجميعالاختباراتالامنيهمقابلمثيلاتغيرتابعهللإنتاجالخاصةبمنتجاتنالتقليلالمخاطرةبينالبياناتوالخدمات。


    كيفية الإبلاغ عن وجود ثغرة أمنية

    كونفيدينتياليمشاركهتفاصيلالثغرةالامنيهالمحتملةبواسطةملء نموذج تقديم الثغرة الامنيه

    قمبتوفيرتفاصيلالثغرةالامنيهالمحتملةبحيثيمكنانيقومفريقأمانال黑板بالتحققمنالمشكلةوأعادهإنتاجهابسرعة。وبدونالمعلوماتالموجودةأعلاه،قديكونمنالصعبعدمالقيامبمعالجهالثغرةالامنيهالمحتملة。ولنتتممعالجةالتقاريرالتيتسردالعديدمنالثغراتالأمنيةالمحتملةدونإضافةتفاصيلويتمذلكدونتقديمأيتوضيحإضافي。ينبغي ان تتضمن التفاصيل ما يلي:

    • نوع مشكله عدم الحصانة;
    • ماإذاكانقدتمنشرالمعلوماتأومشاركتهامعالجهاتالأخرىاملا。
    • المنتجاتوالإصداراتالمتاثره;
    • تكويناتمتاثره;
    • الإرشاداتخطوهبخطوهأوالإثباتالخاصبالتعليماتالبرمجيةالخاصةبالتصورلأعادهإنتاجالمشكلة。

    黑板التزامالأمان

    لريبورتيرسالثغرةالامنيهالتيتتبعهذاالنهج،سيحاو黑板لالقيامبمايلي:

    • إقراراستلامتقريرك;
    • التحققفيالوقتالمناسب،ممايؤكدعلياحتمالالثغرةالامنيهالمحتملة؛
    • قمبتوفيرخطهواطارزمنيلعنونهالثغرةالامنيهإذارغبتفيذلك。
    • يمكنكاعلامالمسجلبالثغرةالامنيهعندحلمشكلهعدمالحصانة。