Richtlinien zum Umgang mit Sicherheitsproblemen: Unterschied zwischen den Versionen

Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „{{Sicherheit}} {{Zum Übersetzen}} We treat security issues in Moodle software very seriously. Even though we dedicate a lot of time designing our code to avoi…“)
 
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
{{Sicherheit}}
 
{{Sicherheit}}
  
{{Zum Übersetzen}}
+
Wir nehmen Sicherheitsprobleme in Moodlesehr ernst. Auch wenn wir viel Zeit in das Entwickeln und Testen des Codes investieren, kann bei der Größe dieses Projekts niemals gänzlich ausgeschlossen werden, dass Sicherheitslücken auftreten.
  
We treat  security issues in Moodle software very seriously. Even though we dedicate a lot of time designing our code to avoid such problems, it is inevitable in a project of this size that new vulnerabilities will occasionally be discovered.
+
==Richtlinien==
 +
Wir haben Richtlinien zum verantwortungsvollen Umgang mit Sicherheitsproblemen entwickelt. Dazu gehört, dass Sicherheitslücken, die dem Entwicklerteam berichtet werden, erst veröffentlicht werden, wenn das Problem gelöst ist und registrierte Moodle-Administrator/innen genügend Zeit hatten, ihre ysteme zu aktualisieren. Beachten Sie, dass es verantwortungslos ist Sicherheits-E-Mails weiterzuleiten, bevor die Sicherheitslücken auf http://moodle.org veröffentlicht sind.
  
==Disclosure policy==
+
Wir bitten Sie, einige Punkte zu beachten, wenn Sie ein Sicherheitsproblem entdecken. Dazu gehört, dass Sie ausschließlich mit dem Sicherheitsteam (unter der Leitung von Petr Škoda) in Verbindung treten und Ihr Wissen nicht mit einer breiten Öffentlichkeit teilen.
  
We practice ''responsible'' disclosure, which means we have a policy of disclosing all security issues that come to our attention, but only after we have solved the issue and given registered Moodle sites time to upgrade or patch their installations. Please note it is considered irresponsible to publicly repost mailed security notices '''before''' they are published at moodle.org.
+
==Wie melde ich ein Sicherheitsproblem?==
  
We ask that when reporting a security issue, you observe these same guidelines, and beyond communicating with the security team (led by Petr Škoda), do not share your knowledge of security issues with the public at large.
+
Erstellen Sie einen [http://tracker.moodle.org/secure/CreateIssue.jspa neuen Eintrag] im Moodle [[Bug Tracker]] und beschreiben Sie das Problem ausführlich (wenn möglich mit Lösung). Stellen Sie sicher, dass Sie den Eintrag als Sicherheitsproblem kennzeichnen, damit das Sicherheitsteam den Eintrag findet. Der Eintrag bleibt im Tracker verborgen und ist nur für das Sicherheitsteam und die Person sichtbar, die den Eintrag erstellt hat.
  
==How can I report a  security issue?==
+
Wenn Sie sich nicht sicher sind, ob es sich bei Ihrem Problem um eine Sicherheitslücke handelt, erstellen ie trotzdem einen Eintrag. Bitte melden Sie Sicherheitsprobleme '''niemals''' in einem Forum auf http://moodle.org.
  
Please "[http://tracker.moodle.org/secure/CreateIssue.jspa Create a new issue]" in the Moodle tracker describing the problem (and solution if possible) in detail. Make sure you set the security level accurately to make sure that the security team sees it. Bugs classified as a "Serious security issue" are hidden from everyone apart from the security team and the person who reported the problem.
+
==Was passiert bei einem Sicherheitsproblem?==
  
If you are not sure whether an issue is a security issue, you should still create a new issue in the tracker for review. Please do NOT post in one of the forums on moodle.org.
+
# Das Sicherheitsteam prüft den Eintrag im Bug Tracker und bewertet die Auswirkungen auf alle freigegebenen Moodle-Versionen.
 
+
# Sicherheitsteam arbeitet gemeinsam mit der Person, die das Problem gemeldet hat, an einer Lösung.
==How we deal with a reported security issue==
+
# Es werden neue Moodle-Versionen erstellt und getestet.
 
+
# Es werden neue Moodle-Installationspakete erstellt und auf http://download.moodle.org zur Verfügung gestellt.
# The security team reviews the issue and evaluates its potential impact on all supported versions of Moodle
+
# Es wird eine Sicherheitsmail an alle registrierten Moodle-Administrator/innen versendet.
# The security team works with the issue reporter to resolve the problem
+
# Die Sicherheitslücke wird mit zeitlicher Verzögerung im [http://moodle.org/mod/forum/view.php?id=7128 Moodle Sicherheits-Nachrichtenforum] veröffentlicht.
# New versions are created and tested
 
# New packages are created and made available on download.moodle.org
 
# Advisories are mailed to administrators of registered Moodle sites
 
# A public announcement is made about the security issue in the [http://moodle.org/mod/forum/view.php?id=7128 Moodle security news forum]
 
  
 +
==Siehe auch==
 +
*[[dev:Moodle security procedures|Moodle security procedures]] - englischsprachige Entwicklerdokumentation
 
[[en:Moodle security procedures]]
 
[[en:Moodle security procedures]]

Aktuelle Version vom 17. November 2015, 13:03 Uhr


Wir nehmen Sicherheitsprobleme in Moodlesehr ernst. Auch wenn wir viel Zeit in das Entwickeln und Testen des Codes investieren, kann bei der Größe dieses Projekts niemals gänzlich ausgeschlossen werden, dass Sicherheitslücken auftreten.

Richtlinien

Wir haben Richtlinien zum verantwortungsvollen Umgang mit Sicherheitsproblemen entwickelt. Dazu gehört, dass Sicherheitslücken, die dem Entwicklerteam berichtet werden, erst veröffentlicht werden, wenn das Problem gelöst ist und registrierte Moodle-Administrator/innen genügend Zeit hatten, ihre ysteme zu aktualisieren. Beachten Sie, dass es verantwortungslos ist Sicherheits-E-Mails weiterzuleiten, bevor die Sicherheitslücken auf http://moodle.org veröffentlicht sind.

Wir bitten Sie, einige Punkte zu beachten, wenn Sie ein Sicherheitsproblem entdecken. Dazu gehört, dass Sie ausschließlich mit dem Sicherheitsteam (unter der Leitung von Petr Škoda) in Verbindung treten und Ihr Wissen nicht mit einer breiten Öffentlichkeit teilen.

Wie melde ich ein Sicherheitsproblem?

Erstellen Sie einen neuen Eintrag im Moodle Bug Tracker und beschreiben Sie das Problem ausführlich (wenn möglich mit Lösung). Stellen Sie sicher, dass Sie den Eintrag als Sicherheitsproblem kennzeichnen, damit das Sicherheitsteam den Eintrag findet. Der Eintrag bleibt im Tracker verborgen und ist nur für das Sicherheitsteam und die Person sichtbar, die den Eintrag erstellt hat.

Wenn Sie sich nicht sicher sind, ob es sich bei Ihrem Problem um eine Sicherheitslücke handelt, erstellen ie trotzdem einen Eintrag. Bitte melden Sie Sicherheitsprobleme niemals in einem Forum auf http://moodle.org.

Was passiert bei einem Sicherheitsproblem?

  1. Das Sicherheitsteam prüft den Eintrag im Bug Tracker und bewertet die Auswirkungen auf alle freigegebenen Moodle-Versionen.
  2. Sicherheitsteam arbeitet gemeinsam mit der Person, die das Problem gemeldet hat, an einer Lösung.
  3. Es werden neue Moodle-Versionen erstellt und getestet.
  4. Es werden neue Moodle-Installationspakete erstellt und auf http://download.moodle.org zur Verfügung gestellt.
  5. Es wird eine Sicherheitsmail an alle registrierten Moodle-Administrator/innen versendet.
  6. Die Sicherheitslücke wird mit zeitlicher Verzögerung im Moodle Sicherheits-Nachrichtenforum veröffentlicht.

Siehe auch