反驳:Patchstack 如何提高 WordPress 的安全性

Patchstack 安全倡导者在其最新报告中深入挖掘了统计数据背后的数据,并解释了该组织如何帮助插件开发人员保护他们的软件。

Rebuttal: How Patchstack is improving WordPress security
Rebuttal: How Patchstack is improving WordPress security

这是 Patchstack 的安全分析师 Robert Rowley 的客座帖子,该公司正在 WordPress 生态系统背后建立一个安全社区。

反驳出现!

本文是对 Rob Howard 的文章“WordPress 安全性是变好还是变坏?”的反驳。作者强调了 WordPress 安全声誉面临的挑战,并批评了 Patchstack 的 2021 年安全白皮书。但是,对于我将要写的内容来说,反驳这个词太强了,我为松散地使用语言而道歉。

我该向谁道歉?好吧,我是 Patchstack 的安全倡导者,我与 Patchstack 的同事一起帮助撰写了 2021 年 WordPress 安全状态论文

为什么这是一个反驳但不是反驳?因为,Patchstack 的每个人都对 Rob 的批评表示赞赏和反思。我们不是那种与有共同目标的人争论的类型:当人们问“WordPress安全吗?”答案应该是……

是的。

至少,我们现在可以这样说 WordPress 核心。但是,当我说它是“安全的”时,我并不是在谈论每年影响产品的漏洞数量,这只是一个数字或一个指标。安全不仅仅是一个指标,安全是一个过程。

当我说“WordPress 核心是安全的”时,我正在考虑项目安全性背后的流程。我是说“WordPress 核心有一个成熟的安全模型。”

因为对我来说,当我被问到“这个项目安全吗?”我想看看该项目在尊重和公开地处理安全漏洞方面的记录。 Rob 在他的文章中说得最好,我同意:“安全版本意味着好人正在构建好软件。”

那么,WordPress 核心如何才能拥有成熟的安全模型呢?让我分享一些(但不是全部)关于是什么让 WordPress 核心的安全流程变得成熟的要点:

  • WordPress 核心清楚地向用户传达安全版本。
  • WordPress 核心有资源来审查、验证和修补报告给项目的安全错误。
  • WordPress 核心有一个公共漏洞披露政策,其中详细说明了报告漏洞时的步骤并概述了边界和期望。
  • WordPress 核心还有一个由 Automattic 赞助的漏洞赏金计划,该计划通过支付漏洞赏金来激励安全研究人员报告漏洞。

请注意,我没有提到漏洞或 CVE 计数。请记住,这只是一个指标、一个数据点或一段时间内的测量值,以反映一个过程是否正常工作。而且,如果我们回顾 WordPress 核心的漏洞指标历史,我们会发现一个有趣的细节:

(Source: cvedetails.com)
(Source: cvedetails.com)

https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337

2017 年,WordPress 核心报告的 CVE 数量达到顶峰年份,为 46。此后,它的阅读量呈下降趋势,去年是自 2010 年以来 CVE 数量最低的一年。

因此,数据显示 2017 年发生了“某些事情”,此后情况有所好转。 2017年发生了什么? WordPress 核心启动了一个漏洞赏金计划,该计划鼓励报告其代码库中的漏洞。

他们检查了我上面列出的一些要点,他们获得了安全成熟度,并反映在指标中。

安全成熟度

如果所有插件和主题都可以在成熟的安全清单中检查更多这些项目,那就太好了,就像 WordPress 核心一样。

像:

  1. 安全发布的清晰沟通
  2. 公开漏洞披露政策
  3. 用于审查、验证和分类这些安全错误报告的资源
  4. 激励研究人员

#1 很简单,但随着列表的增加,对于资源较少的小型项目来说,它变得越来越遥不可及。最后一项非常罕见。

Patchstack 可以帮助开源项目达到安全成熟度,我们已经开始了——这些指标表明了这一点。

修复的安全漏洞增加了 150%!

2021 年,WordPress 生态系统中报告和*修补*的安全漏洞增加了 150%。这意味着网站所有者能够更新他们的插件,并且他们的网站不再容易受到攻击。

我理解并同意 Rob 的评论,即漏洞增加 150% 的措辞存在一些混淆。我考虑了这一点,并相信称它们为“已修补的安全漏洞”更清楚,并赋予它积极的含义。从现在开始,在谈论漏洞时,我将尽我所能保持清晰和积极(对不起!我的意思是安全漏洞。)

除了一些例外。

不过也有一些例外。并非所有报告的安全漏洞都得到了修补,这使得网站容易受到攻击。

Rob 在他的文章中提到了这一点,我同意他的评论。当他们所依赖的项目由于被放弃而没有收到针对关键安全问题的补丁时,这对网站所有者来说是可悲的。

Rob 继续说:“至少在未来,如果插件存在已知漏洞,WordPress 安全团队应该自己发布安全版本。”我不确定谁有时间,但我对这个过程如何运作有一个想法,所以我可能会考虑自己做。

解释 150% 的增长。

WordPress 生态系统正在增长,但不是以 150% 的速度增长。事实上,WordPress.org 插件存储库在 2021 年增长了不到 3%,从 58,151 个增加到 59,800 个。主题增长了约 10%,这是稳健的增长……但远未达到 150%

安全漏洞激增是由于越来越多的人在 WordPress 生态系统代码库中审查并随后发现和报告这些漏洞。我提到 Patchstack 已经在帮助开源项目达到安全成熟度……那么,如何?

公地漏洞披露。

我们都知道开源由于其代码库的透明性而更安全的说法。任何人都可以自由查找和报告安全漏洞……但谁在寻找?他们的动机/动机是什么?他们如何报告错误?谁处理报告?

安全研究人员正在寻找,应该被视为他们报告安全漏洞的开源项目的贡献者。他们实际上提供了有关具有更高优先级的错误的详细信息,但这些错误报告需要小心处理。

安全漏洞需要快速修复,单独和私下讨论,但最终也要公开讨论!这就是所谓的“漏洞披露”的平衡行为,绝非易事。

漏洞披露是“如何”,但小型开源项目处理披露是复杂和困难的,特别是如果他们的资源很少并且正在与经验不足的安全研究人员打交道报告问题。如果在此过程中的任何人态度不成熟,假设不良意图,或者只是变得不耐烦......它可能会变坏。

随着安全漏洞的增加,我们没有看到的一个统计数据是漏洞披露变坏的同样增加。

因为没有。

因为在成熟的漏洞披露流程之后,有人正在帮助开发人员处理 2021 年安全报告的增加。

那个人就是 Patchstack Alliance 背后的团队,他们在报告安全漏洞和与开发人员和研究人员合作方面拥有数十年的经验。 Patchstack Alliance 帮助开源项目检查成熟安全流程的更多要点。我们为 WordPress 生态系统中的每个项目都这样做,为他们节省时间,帮助他们,而且我们直接免费为项目做这件事。

我们承担责任。

Patchstack 负责 Patchstack 联盟,该联盟于 2021 年年中开始。该联盟的目标是帮助 WordPress 生态系统中的项目解决更多的安全漏洞。我们通过游戏化的漏洞赏金平台激励安全研究人员,反过来 Patchstack 以尊重和同情的方式处理这些漏洞的漏洞披露过程。

每个安全错误报告(总共超过 1000 个*)都会导致 Patchstack 的团队成员审查并验证报告是否有效。如果错误是有效的,我们会联系相应项目的开发人员并谨慎地告知他们问题,并按照成熟的安全模型指导他们完成漏洞披露过程的其余部分。我们联盟团队成员的经验也使我们在脆弱的漏洞披露流程步骤中一帆风顺,没有报告“变坏”或导致争论或负面体验。

(* 注意:并非所有这些报告都是有效的,事实上,许多报告都需要额外的努力来清理或向安全研究人员解释为什么它们是无效的。我们的团队付出了努力,清理了报告,以免浪费项目开发人员的时间。)

不过,Patchstack 仍然是一个年轻的组织,我们正在以不同的方式做事。从不同的角度来看,我们可能会受到批评。但是我们接受批评,并且只要批评来自具有相同目标的人:更安全的 WordPress 生态系统,我们就会对我们的行为负责。

我们希望 WordPress 被认为是安全可靠的。不仅是核心,还有插件和主题,整个生态系统!这是我们的共同点,我们的共同目标。

当您知道双方都在朝着相同的目标努力时,欢迎批评。它是一种可以使用的工具,可以作为人、组织、社区和贡献者成长。

对不起。谢谢。不客气。

这些话“对不起。不客气。谢谢。”在 Patchstack 中派上用场很多。它们对于在漏洞披露过程中保持和平至关重要,但它们对于任何错误沟通都很方便。我每周都会在 Patchstack Weekly(我分享安全提示和最新消息)上说这些。它们是同理心和理解的话语,是 Patchstack 擅长的(或者至少我们尽力而为)。

我感谢 Rob 在原始文章中的批评,并感谢 MasterWP 发表了 Rob 的文章以及这个反驳但不是反驳的回应。

Patchstack 相信开源,我们相信我们正在填补一个急需的空白:每年从生态系统中修补更多的安全漏洞和删除漏洞。我们正在尽最大努力做到这一点,同时对所有相关人员表示同情和理解。我们与这个市场上的竞争对手不同。如果您愿意支持我们使整个 WordPress 生态系统成为一个更安全、更友善、更安全的地方,请查看 Patchstack 的一些产品和产品。我们为网站所有者代理机构托管服务提供商开发商提供解决方案。

Robert Rowley 是 Patchstack 的客座贡献者和安全倡导者,该公司正在建立 WordPress 生态系统背后的安全社区并保护网站免受插件漏洞的影响。

发表回复

您的电子邮箱地址不会被公开。