Die Hauptaufgabe des Teams liegt in der Behandlung von Sicherheitsmeldungen, die von Anwendern über das Formular auf der Teamseite [1] eingeschickt werden. Ziel ist es, binnen 24 Stunden den Reporter des potenziellen Sicherheitsproblems zu benachrichtigen, das Problem zu verifizieren und geeignete Maßnahmen zu ergreifen. Hierbei kann es sich, abhängig von der Art des Problems, um verschiedene Maßnahmen handeln: Bei Meldungen, die den TYPO3-Kern betreffen, kann das Team auf die Mithilfe einiger Kern-Entwickler zählen, die im Security-Team engagiert mitarbeiten. Hierdurch können relevante Probleme direkt gelöst und in das SVN geladen werden.

Bei Meldungen zur Sicherheit von Extensions, die rund 95 Prozent der sicherheitsrelevanten Meldungen ausmachen, gestaltet sich die Arbeit etwas anders: Zuerst versucht ein Mitglied des Teams die Lücke zu reproduzieren. Hierbei gilt natürlich: Je detaillierter der Reporter das Problem beschreibt, desto schneller kann der Autor benachrichtigt und ein Update veröffentlicht werden. Die Nennung von Beispielseiten, auf denen der Fehler reproduziert werden kann, beschleunigt den Ablauf in der Regel.

Incident Handling

Bei der Bearbeitung von potenziellen Sicherheitsproblemen ist Eile geboten, allerdings nicht zu Lasten der Qualität. Darum hat sich das Team klare Richtlinien gesetzt, wie mit solchen Meldungen umzugehen ist. Wichtig ist vor allem die schnellstmögliche Benachrichtigung des Reporters und des Autors, um das Problem zu lösen. Meldungen über etwaige Probleme werden daher an eine Mailingliste geschickt, die von den Teammitgliedern permanent beobachtet wird. Generell gilt folgende Vorgehensweise: