黑板处理固体程序sécurité qui agit non seument pour empêcher l'apparition de problèmes de sécurité, mais également pour les éliminer。Chez Blackboard, nous effectuons continuelment des tests de sécurité internes au niveau du code(分析静态)和应用程序(分析动态)倒vérifier qu'ils répondent à nos attentes, ainsi qu'à cells de nos clients。De plus, pour garder constamment un regard neuf sur nos applications, nous récupérons des tests De pénétration De sécurité De la part De fournisseurs tier。Nous corrigeons rapidement chque problème identifié。

    我最重要的是réaliser que le program de sécurité de Blackboard est une pratique de + en + répandue et évolutive。知识的一部分engagés dans unprocsus d'amélioration恒定的pour renforcer les dispositifs de sécurité et la robustesse de nos产品。


    安全炸药integree

    Blackboard 'est engagé à fournir à ses客户端des应用程序sécurisées。Nous développons nos products Blackboard conformément à des instructions techniques de sécurité provenant de nombreux有机物,telels que la communauté OWASP(开放Web应用安全项目),保护措施的标志spécifiques contre les 10 principales vulnérabilités OWASP。黑板合并实践sécurité dans toutes les phase du cycle de développement de ses logiciels。

    使用利益méthodes pour protéger nos应用,有效的文书évaluations de sécurité«后代»通过des分析和une modélisation des威胁,et en réalisant une détection«上升»代码通过des静态分析和动态分析和测试pénétration manuels。

    Nous采用les pratiques d'excellence de nombreux有机物pour renforcer la sécurité de nos产品和方案,notamements les suivants:

    • 国家标准与技术研究所(NIST)
    • 情报机构européenne chargée de la sécurité des réseaux et de l’information (ENISA)
    • SANS研究所
    • 开放Web应用安全项目(OWASP)
    • 云安全联盟(CSA)

    Modélisation des威胁

    Au fur et à新措施fonctionnalités sont mises Au point, l'équipe de sécurité évalue les exigigences et la构思du système pour faciliter l'atténuation des risques en effecant laModélisation des威胁.La modélisation最具威胁性的过程structuré dans level les威胁de sécurité portant sur La fonctionnalité étudiée sont identifiées afin que de measures de sécurité appropriées puissent être identifiées et appliquées。


    代码sécurisé et les 10 principales vulnérabilités de l'OWASP

    Les产品Blackboard sont développés en tenant compte d'un ensemble d'instructions de développement émises par le projet de sécurité communautaire OWASP(开放Web应用安全项目),包含了保护控制的措施10原则vulnérabilités OWASP倒2013。

    A1:注入(注入SQL/DOM/LDAP) Notre normme de code consistà utiliser des variables bind et à éviter les littéraux抄写en指令SQL。La fonctionnalité LDAP est limitée à l’authentication。
    A2:认证间歇和质询会话 Les产品的黑板功能独特的sous TLS, donc tous Les cookies sont chiffrés。
    A3:脚本de site à site (XSS) Les scripts de site à site sont atténués par l'utilisation de bibliothèques partagées, telles queESAPIEt les normes de développement。最后的默契être传递的是méthodes d’assainissement。(日期,valeurs de sélection/d'option)亲亲亲爱(être générés à parr d'objets de domaine sais, plutôt que抄写指示à parr des saisisies utilisateur)。
    A4: références d'objets指示非sécurisés Tous les申请书référencés通过des«ID»qui通讯员généralement à la clé primaire。Cependant, tous les maps d'objets et toutes les vérifications de sécurité sont effectués par rapport à un«context»。举例来说,une demande peut faire référence à un«ID de message»qui est un message envoyé sur le forum de discussion d'un cours。Conformément à la norme Blackboard, nous contrôlons l’autorisation du privilège lié à la function de l’utilisateur。
    Dans les cas où cette norme n'est pas appliquée更正,la réparation est simple puisque toues les entités de données protégées Dans le système sont associées à un contcontte de sécurité (cours ou domaine)。
    A5: erreur de configuration de la sécurité 黑板贴花在政治上sécurité par défaut avec des notes de mise à jour et l' utilesd 'une documentation lorsque l'attention de l' administrator système est nécessaire。Nous鼓励没有客户à suivre notre guide des meilleures pratiques de configuration sécurisée lorsqu'il est disponible et相关倾leurs产品黑板。

    审计sécurité
    Les événements de sécurité sont enregistrés dans des journaux de sécurité spécifiques。

    Fuites d'information et traitement des errors
    La gestion des erreurs standard est appliquée à toutes les pages(通过un modèle de page standard et une bibliothèque de balises)。Il en résulte une sortie标准的错误,en微粒的错误,不重新连接。标准的peut包含了信息记录(fuite d'info mineures),法国的行政长官données traitées lors de l'échec de La requête,法国的行政长官accès au niveau行政长官。Les utilisateurs non privilégiés (comme Les étudiants) ne peuvent pas consulter Les traces détaillées de la pile。

    A6: exposition aux données sensibles 黑板的规则,黑板的规则,黑板的规则,销售的规则,利用的规则,利用的规则,格式SHA-160。

    Les生产的Blackboard peuvent函数TLS;cependant, il incombe au développeur de configurer correctement TLS lorsque son product est auto-hébergé。

    A7: contrôle d'accès au niveau de function manquant Ceci est géré à deux niveaux: la logique métier doit appliquer des contrôles d' autece et veiller à ce que les cas de test d'assurance-qualité couvrent les紧急情况d' autece pour différents écrans。
    A8:伪造requête间基(CSRF) 巴黎干部sécurité suit les recommendations de l'OWASP倾倒独特的价值à需求和sémantique POST-Only。Les要求AJAX使用唯一(nonce) par会话。
    A9:合成词présentant des vulnérabilités conues的使用 Ce problème est atténué par la réalisation d’analyses régulières des vulnérabilités de notre基础设施和包装材料的层次和标识材料présentant des vulnérabilités connues et d'élaborer une feuille de route pour mettre à niveau les composants avec les correctifs disponibles。
    A10:重定向和转移非validés 代码规范sécurisé黑板要求重定向和转移vérifier我有自己的地址。Cette vulnérabilité est testée régulièrement。

    Catégories de vulnérabilités antérieures dans les dix principales vulnérabilités de l'OWASP

    Exécution de fichiers malveillants 我们的农民téléchargés我们的农民privilège我们的农民utilisés我exécutables。Les utiisateurs bénéficiant de privilèges (par ex. Les administrateurs système) peuvent toutefois télécharger des paquets exécutables, appelés Building Blocks, qui étendent Les fonctionnalités du système。我们的环境supposé我们的管理者système我们的责任和责任的组成部分我们的责任和责任,我们的责任和责任,我们的责任和责任à我们的积木的安装层。

    Toute déclaration concernant les attes futures, les plans et les prospects de Blackboard reflète les opinions actuelles de la Société。Les résultats réels peuvent différer各种因素的理性是重要的。La Société s'attend à ce que des événements et des faits nouveaux ultérieurs l'amènent à修饰词son point de vue。Toutefois, bien que la Société puisse, à terme, actualiser ces déclarations, elle décline expressément toute obligation de le faire。


    参与和泄露的政治matière问题vulnérabilités

    Le program de gest vulnérabilités Blackboard est régi par la polititique d'engagement and leak en matière de gilique de publique cidessous。Aucun éditeur de logiciel n'est parfait。En cas de détection d'une faille de sécurité dans un product lancé, l'équipe de sécurité黑板est prête à interir。

    请联系我们的助手,请联系我们的助手信息服务部门établissement。黑板报accès竞争信息,选举网站établissement。我是你的留言联系人,网址网址établissement +网址网址网址网址网址网址网址网址网址网址网址网址网址

    黑板参与à旅行者rapidement et avec précaution à la résolution des vulnérabilités de sécurité。ce résolutions peuvent conduire à la publication d'un avis de sécurité et/ou de mise à jour des products is par nos clients。protéger没有客户和朋友données,有需要的人à ce que les vulnérabilités有知识的人signalées de manière有责任的人有知识的人étudier et y répondre。

    Les的产物是Blackboard sont复合体。Ils s'exécutent sur des配置matérielles et logicielles variées et sont connectés à de nombreuses应用tierces。产品的修改apportées aux logiciels(大的或小的)nécessitent une分析approfondie, ainsi qu'un développement et une mise en euuvre sur leusier lignes et le de products。Le logiciel doit également faire l'objet d'une本地化,de test d'accessibilité et d' aures tests adaptés à sa portée, sa complexité et de son importance。Étant donné l'重要性批判非产品倒非客户端,黑板做模板à ce qu'ils功能修正,非软件安装与测试,mais également dans les环境与客户端。口令conséquent,口令口令à日历产生的作用défini,口令口令à旅行者的口令。

    Les people malintentionnées exploitent souvent Les vulnérabilités des logiciels par ingénierie inversée des avis de sécurité et des mises à jour des products publiés。最重要的客户的倾倒,dem tre à jjles logiciels rapidement和de ' utilier notre système d'évaluation de la gravité倾倒,améliorer la planification des mises à jour。

    测试des vulnérabilités de sécurité

    你是有效的,我们的测试,vulnérabilité在非生产的情况下,不生产的产品,在最低限度的,不雅的倾注,données和服务。


    评论信号者une vulnérabilité ?

    法国人façon法国人détails法国人vulnérabilité法国人联合国信号补文公式vulnérabilité

    Fournissez des细节苏尔la vulnerabilite potentielle afin de黑板给有效的安全范围,队报》等reproduire很快地问题。Sans les information ci-dessus, il peut être艰难,voire impossible de résoudre la vulnérabilité potentielle。和谐的关系répertorient de nombreuses vulnérabilités potentielles sans détails ne seront pas traités没有澄清supplémentaire。Les détails doivent包括Les éléments suivants:

    • 类型为vulnérabilité;
    • 信息网址:été publiées ou partagées avec d'autres parties;
    • 产品et版本affectés;
    • 配置concernées;等
    • 说明pas-à-pas ou code de preuve de concept pour再现le problème。

    Blackboard en matière de sécurité

    黑板口令répondre de la manière suivante à tous les signals de vulnérabilité qui suivent cette Politique:

    • 原告réception du rapport;
    • 有可能的调查,有可能的调查,有可能的调查,有可能的调查;
    • Fournir un项目和规划pour la résolution du problème, le cas échéant;等
    • 通知人le报告员de la vulnérabilité lorsque la vulnérabilité a été résolue。