Kategorien
Projektwerkstatt: SecurityGraph
Ich arbeite für einen großen Verlag und wir haben sicherlich 500 Softwarekomponenten um Einsatz. Das Meiste davon ist wahrscheinlich PHP. Viel Symfony, Symfony2, Drupal, WordPress. Ihr kennt die üblichen Verdächtigen. Die Hauptframworks aufzuzählen fällt keinem von uns schwer, dummerweise wissen wir aber eigentlich gar nicht so wirklich, was wir alles noch nebenher am Laufen haben.
Und genau hier startet meine Idee. Ich will ein System, in dem ich alle meine Komponenten eintragen kann und werde jedes mal informiert, wenn eine Sicherheitslücke in meiner Software zu finden ist.
Bei modernen PHP-Programmen sollte das auch kein Problem sein, da sie häufig explizit ihre Abhängigkeiten über Composer angeben und somit automatisiert alles ausgelesen werden kann.
Jetzt werden viele sagen, dass es das ja schon gibt. VersionEye zum Beispiel informiert einen, wenn es neue Versionen der verwendeten Komponenten gibt. Und das machen sie wirklich gut. Hier kann ich meine GitHub (und andere) Projekte einfach einklinken, sie lesen meine composer.json (oder lock) aus und benachrichtigen mich per E-Mail, wenn Bestandteile veraltet sind.
Da VersionEye aber auf Git-Commits und Versionen beruht, haben sie ein großes Problem. Sobald ein Sicherheitsloch auftaucht, welches noch nicht gefixed wurde, habe ich keine Chance informiert zu werden.
Bevor man natürlich ein eigenes Projekt auf die Beine stellt, dass in Konkurrenz zu VersionEye aufpoppt, sollte man vielleicht einfach mal mit den Jungs reden. Vielleicht kann man ja auch den GitHub-Issue-Tracker dafür nutzen. Sobald ein Ticket auftaucht mit dem Tag „VersionEye_Security“ oder ähnlichem, wird das in die Welt rausgerufen.
Das in Kombination mit den existierenden Features wäre mein Traum.
PS: Soll ich eigentlich mal ein wenig mehr zum Thema VersionEye schreiben?
Hallo Nils. Zunächst einmal vielen Dank für deinen blog post. Finde ich super. Ich bin der Kerl der VersionEye ins Leben gerufen hat 🙂
Deine Idee finde ich sehr gut. Zur Zeit bezieht VersionEye seine security infos von der SensioLabs Security Datenbank, alle 10 min. Ich bin natürlich offen für weitere Quellen. Auf verschiedenen Gründen nutzen wir zur Zeit das Ticket System von Bitbucket: https://bitbucket.org/versioneye/versioneye/issues. Hier kann man auf tickets voten, was man bei GitHub leider noch nicht kann. Auf jeden Fall könnte man dort „security“ tickets öffnen und die mit einem bestimmten Tag versehen.
Allerdings gibt es auch eine Arbeitsgruppe die an einem Standard arbeitet für einen PHP security-reporting-process. Sieh mal hier: https://github.com/php-fig/fig-standards/blob/d5f06429b6a7c32b55ea5d0ab5af43dfd8db0b6a/proposed/security-reporting-process.md. Ich verfolge das mit großer Aufmerksamkeit und will das mit VersionEye unterstützen. Mir liegt viel daran mit den fig-standards conform zu bleiben. Sonderlocken würde ich gerne vermeiden. Kanntest du das Dokument schon?
Moin Robert, danke für deinen Kommentar und auch für VersionEye. Das Dokument kannte ich noch nicht, aber das wird sich im Laufe des Tages ändern. Wenn ich die Zeit heute finde, dann werde ich mal bei euch einen Featurewunsch eintragen. Was ich aber nicht möchte ist, dass bei euch Security-Tickets eingehen, sondern, dass ich z.B. meine GitHub-Issues nach dem Security-Tag durchsucht und dann diesen als Alarm ausspielt.
Also noch mal vielen Dank für das Tool und ich melde mich spätestens, wenn ich mal einen längeren Artikel darüber verfasse.