Das Security-Team: TYPO3 Teams im Portrait
Die Hauptaufgabe des Teams liegt in der Behandlung von Sicherheitsmeldungen, die von Anwendern über das Formular auf der Teamseite [1] eingeschickt werden. Ziel ist es, binnen 24 Stunden den Reporter des potenziellen Sicherheitsproblems zu benachrichtigen, das Problem zu verifizieren und geeignete Maßnahmen zu ergreifen. Hierbei kann es sich, abhängig von der Art des Problems, um verschiedene Maßnahmen handeln: Bei Meldungen, die den TYPO3-Kern betreffen, kann das Team auf die Mithilfe einiger Kern-Entwickler zählen, die im Security-Team engagiert mitarbeiten. Hierdurch können relevante Probleme direkt gelöst und in das SVN geladen werden.
Bei Meldungen zur Sicherheit von Extensions, die rund 95 Prozent der sicherheitsrelevanten Meldungen ausmachen, gestaltet sich die Arbeit etwas anders: Zuerst versucht ein Mitglied des Teams die Lücke zu reproduzieren. Hierbei gilt natürlich: Je detaillierter der Reporter das Problem beschreibt, desto schneller kann der Autor benachrichtigt und ein Update veröffentlicht werden. Die Nennung von Beispielseiten, auf denen der Fehler reproduziert werden kann, beschleunigt den Ablauf in der Regel.
Bei der Bearbeitung von potenziellen Sicherheitsproblemen ist Eile geboten, allerdings nicht zu Lasten der Qualität. Darum hat sich das Team klare Richtlinien gesetzt, wie mit solchen Meldungen umzugehen ist. Wichtig ist vor allem die schnellstmögliche Benachrichtigung des Reporters und des Autors, um das Problem zu lösen. Meldungen über etwaige Probleme werden daher an eine Mailingliste geschickt, die von den Teammitgliedern permanent beobachtet wird. Generell gilt folgende Vorgehensweise:
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team