Richtlinien zum Umgang mit Sicherheitsproblemen

Version vom 4. Mai 2012, 18:47 Uhr von Gisela Hillenbrand (Diskussion | Beiträge) (How can I report a security issue?)

Wechseln zu: Navigation, Suche


Baustelle.png Diese Seite ist noch nicht vollständig übersetzt.


Wir nehmen Sicherheitsprobleme in Moodlesehr ernst. Auch wenn wir viel Zeit in das Entwickeln und Testen des Codes investieren, kann bei der Größe dieses Projekts niemals gänzlich ausgeschlossen werden, dass Sicherheitslücken auftreten.

Richtlinien

Wir haben Richtlinien zum verantwortungsvollen Umgang mit Sicherheitsproblemen entwickelt. Dazu gehört, dass Sicherheitslücken, die dem Entwicklerteam berichtet werden, erst veröffentlicht werden, wenn das Problem gelöst ist und registrierte Moodle-Administrator/innen genügend Zeit hatten, ihre ysteme zu aktualisieren. Beachten Sie, dass es verantwortungslos ist Sicherheits-E-Mails weiterzuleiten, bevor die Sicherheitslücken auf http://moodle.org veröffentlicht sind.

Wir bitten Sie, einige Punkte zu beachten, wenn Sie ein Sicherheitsproblem entdecken. Dazu gehört, dass Sie ausschließlich mit dem Sicherheitsteam (unter der Leitung von Petr Škoda) in Verbindung treten und Ihr Wissen nicht mit einer breiten Öffentlichkeit teilen.

Wie melde ich ein Sicherheitsproblem?

Erstellen Sie einen neuen Eintrag im Moodle Bug Tracker und beschreiben Sie das Problem ausführlich (wenn möglich mit Lösung). Stellen Sie sicher, dass Sie den Eintrag als Sicherheitsproblem kennzeichnen, damit das Sicherheitsteam den Eintrag findet. Der Eintrag bleibt im Tracker verborgen und ist nur für das Sicherheitsteam und die Person sichtbar, die den Eintrag erstellt hat.

Wenn Sie sich nicht sicher sind, ob es sich bei Ihrem Problem um eine Sicherheitslücke handelt, erstellen ie trotzdem einen Eintrag. Bitte melden Sie Sicherheitsprobleme niemals in einem Forum auf http://moodle.org.

How we deal with a reported security issue

  1. The security team reviews the issue and evaluates its potential impact on all supported versions of Moodle
  2. The security team works with the issue reporter to resolve the problem
  3. New versions are created and tested
  4. New packages are created and made available on download.moodle.org
  5. Advisories are mailed to administrators of registered Moodle sites
  6. A public announcement is made about the security issue in the Moodle security news forum