مقابلة مع Code Risk - خدمة تحليل شفرة المصدر المجانية لملحقات WordPress
نشرت: 2018-10-17
من ناحية أخرى ، لا يمتلك العديد من مطوري المكونات الإضافية الموارد المتاحة للتأكد من أن كود المكونات الإضافية الخاصة بهم آمن ، خاصةً إذا كان مكونًا إضافيًا صغيرًا. على الرغم من أن كل هذا سيتغير ، كما يوضح هندريك بوخوالد في هذه المقابلة. هندريك مهندس برمجيات وباحث أمني ومؤسس مشارك لشركة RIPS Technologies.
ماذا تفعل RIPS Technologies؟
RIPS Technologies هي شركة ذات تقنية عالية مقرها في بوخوم ، ألمانيا. نقدم تحليل أمان آليًا لتطبيقات PHP كتثبيت برامج محلية أو خدمة سحابية قابلة للتوسع بدرجة كبيرة. يمكن لخوارزميات تحليل الكود المبتكرة الخاصة بنا ، والمخصصة تحديدًا للغة PHP ، تحديد نقاط الضعف الأمنية المعقدة في التطبيقات الحديثة مثل أي حل آخر. مهمتنا هي تزويد المطورين والمتخصصين في مجال الأمن بتحليل أمني أكثر دقة وفعالية.
ما هو الخطأ الأمني الأكثر شيوعًا الذي يفعله مطورو البرامج ، وما هي أهم 3 ثغرات أمنية تراها في مكونات WordPress الإضافية؟
مما لا يثير الدهشة ، أن المشكلات الأكثر شيوعًا هي الثغرات الأمنية في البرمجة النصية عبر المواقع (XSS) والتي تحدث عندما تتم طباعة إدخال المستخدم دون التطهير المناسب لصفحة استجابة HTML. أولاً ، تظهر هذه المشكلات بشكل متكرر لأن إخراج البيانات هو العملية الأكثر شيوعًا لتطبيقات PHP وبالتالي فهي تتأثر بانتهاكات الأمان أكثر من العمليات الأخرى. وثانيًا ، نظرًا لتنوع سياقات HTML ومخاطرها في التعقيم ، يمكن تقديم هذه المشكلات بسهولة. تعتبر ثغرات البرمجة النصية عبر المواقع (XSS) خطيرة جدًا في WordPress لأنه يمكن استخدامها ، على سبيل المثال ، لإدخال كود PHP من خلال محرر القوالب. لحسن الحظ ، فإنها تتطلب التفاعل مع المسؤول بالرغم من ذلك.
ثاني أكثر المشكلات شيوعًا هي الثغرات الأمنية الخاصة بإدخال SQL. تعد إدخالات SQL أكثر خطورة من الثغرات الأمنية في البرمجة النصية عبر المواقع لأنه في أسوأ الحالات يمكن استخدامها لاستخراج معلومات حساسة من قاعدة البيانات - على سبيل المثال كلمات المرور - دون أي تدخل من المستخدم على الإطلاق. ونتيجة لذلك ، يمكن استخدامها لهجمات ضارة مؤتمتة بالكامل.
ما مدى جودة أو سوء وضع الأمان العام لأكثر البرامج الإضافية تنزيلًا / التي يبلغ عددها 1000 مكونًا؟
يصعب الإجابة على هذا لأنني لم ألقي نظرة تفصيلية على أكثر 1000 مكون إضافي شيوعًا. قد تستغرق هذه العمليات عدة أشهر حتى تكتمل ، وبحلول الوقت الذي نكون فيه جاهزين ، سنحتاج إلى البدء من جديد لأن بعض المكونات الإضافية يتم تحديثها بشكل متكرر.
ولهذا السبب من المهم استخدام خدمة أمان مؤتمتة مثل Code Risk. على الرغم من درجة CodeRisk ، التي يتم إنشاؤها من عمليات مسح التعليمات البرمجية المصدر المؤتمتة وغير المؤكدة التي نقوم بها في المستودع ، يمكنني القول أن الكود الخاص بمعظمه ليس سيئًا ، على الرغم من وجود مكونات إضافية ذات درجة سيئة. معظم هذه المكونات الإضافية كبيرة جدًا ولديها الكثير من الوظائف. يؤدي هذا تلقائيًا إلى زيادة فرص وجود خطأ في مكان ما. من خلال اختباراتنا اليدوية ، يمكننا القول أيضًا أن المكونات الإضافية الكبيرة غالبًا ما تحتوي على نقاط ضعف منطقية.
هل يمكنك إخبارنا قليلاً عما تقدمه لمطوري مكونات WordPress الإضافية؟
يساعد أحدث مشروع لدينا CodeRisk المطورين والمستخدمين على تقييم المخاطر الأمنية لرمز البرنامج المساعد الخاص بهم مجانًا. في الوقت الحالي ، يقتصر هذا على مكونات WordPress الإضافية التي يتم استضافتها في مستودع WordPress الرسمي.
نقوم تلقائيًا بجلب المكونات الإضافية الجديدة من مستودع WordPress ومسحها ضوئيًا باستخدام ماسح الأمان PHP RIPS الخاص بنا. يتم دمج النتائج التفصيلية لـ RIPS في قيمة المخاطرة سهلة الفهم. تأخذ القيمة في الاعتبار شدة الاستغلال الناجح ، وكمية المشكلات التي تم العثور عليها فيما يتعلق بحجم الكود ، واحتمال إساءة استخدام المشكلة من قبل طرف ثالث.
يمكن لمطوري المكونات الإضافية طلب النتائج التفصيلية الكاملة للمكونات الإضافية الخاصة بهم من خلال نظام آلي. يمكنهم استخدام المعلومات لإصلاح نقاط الضعف المحتملة وتقوية التعليمات البرمجية الخاصة بهم ، مما يجعل نظام WordPress البيئي أكثر أمانًا. الفكرة وراء CodeRisk هي تمكين مطوري المكونات الإضافية من العثور على مشاكل في التعليمات البرمجية الخاصة بهم بأنفسهم ، حتى لو لم يكونوا على دراية بالأمان. بينما نجري الكثير من الأبحاث بخصوص أمان WordPress ، ونبلغ المطورين عن العديد من الثغرات الأمنية ، إلا أن هناك عددًا كبيرًا جدًا من المكونات الإضافية لتحليلها جميعًا يدويًا.
هل يشترك العديد من مطوري الإضافات في خدمة تحليل شفرة المصدر المجانية ويستخدمونها؟ كيف هي استجابة مجتمع WordPress؟
يوجد حاليًا بضع عشرات من مطوري المكونات الإضافية الذين يستخدمون CodeRisk لتقليل مخاطر الثغرات الأمنية في المكونات الإضافية الخاصة بهم. لقد تلقينا الكثير من التعليقات الجيدة حتى الآن وساعدنا CodeRisk بالفعل في حل مئات المشاكل.
تميل الماسحات الضوئية الآلية إلى الإبلاغ عن الإيجابيات الكاذبة وحالات الحافة التي قد لا تكون قابلة للاستغلال. بالنظر إلى أن العديد من المطورين ليسوا على دراية بالأمان ، فماذا تفعل لمساعدتهم وتجنب الإنذارات الكاذبة؟
يجب أن يدرك مستخدمونا أننا نسلط الضوء على التعليمات البرمجية التي تشكل خطرًا أمنيًا. من بين الثغرات الأمنية غير المقصودة ، يتضمن هذا أيضًا نتائج أخرى ، على سبيل المثال الحماية الضعيفة التي قد تصبح تهديدًا لاحقًا.
لا يتعين عليك معرفة ما إذا كانت مشكلة ما قابلة للاستغلال وكيفية ذلك للتأكد من أنها لن تصبح تهديدًا أمنيًا في المستقبل. على سبيل المثال ، إذا قمت بطباعة القيمة المرجعة لوظيفة ما ، فتأكد من تشفيرها بشكل صحيح لمنع الثغرات الأمنية في البرمجة النصية عبر المواقع. حتى إذا كانت القيمة المعادة لا تحتوي على مدخلات المستخدم حتى الآن ، فقد لا يكون هذا هو الحال في المستقبل.
أين ترى مشروع WordPress المجاني ذاهبًا؟ هل لديك خطط لذلك؟ ربما تقديم خدمة متميزة للمطورين باليد ، ومساعدتهم على فهم النتائج والاستفادة منها على أفضل وجه؟
سيضيف الإصدار التالي من CodeRisk دعمًا لموضوعات WordPress نظرًا لأنها جزء لا يتجزأ من معظم المدونات ، وغالبًا ما تحتوي على نقاط ضعف أيضًا. في مرحلة ما نود توسيع CodeRisk لأنظمة إدارة المحتوى الأخرى. لا توجد خطط حاليًا لخدمة متميزة ولكن إذا كان هناك طلب كاف عليها ، فقد يتغير هذا.
هل يمكنك منح مطوري WordPress اثنين أو ثلاثة من أفضل ممارسات التطوير الآمن لاتباعها حتى يتمكنوا من كتابة تعليمات برمجية أكثر أمانًا؟
إذا كنت ترغب في كتابة رمز أكثر أمانًا ، فلا تثق أبدًا في الكود الحالي. افترض دائمًا أن الوظائف قد ترجع مدخلات المستخدم وتعاملها على هذا النحو. للحصول على معلومات عامة حول كيفية كتابة كود PHP آمن ، راجع 2018 Guide to Building Secure PHP Software.
قم بزيارة موقع CodeRisk الإلكتروني للحصول على مزيد من المعلومات حول الخدمة. وإذا كنت مطورًا لمكوِّن إضافي لبرنامج WordPress ، وكان المكون الإضافي الخاص بك موجودًا في مستودع المكونات الإضافية لـ WordPress ، فقم بالتسجيل للحصول على حساب مجاني لمعرفة نقاط الضعف التي قد توجد في المكون الإضافي الخاص بك.