コードリスクへのインタビュー–WordPressプラグイン用の無料のソースコード分析サービス
公開: 2018-10-17
一方、多くのプラグイン開発者は、特に小さなプラグインの場合、プラグインのコードが安全であることを保証するために利用できるリソースを持っていません。 Hendrik Buchwaldがこのインタビューで説明しているように、それはすべて変わるでしょう。 Hendrikは、ソフトウェアエンジニア、セキュリティリサーチャー、およびRIPSTechnologiesの共同創設者です。
RIPSテクノロジーは何をしますか?
RIPS Technologiesは、ドイツのボーフムに拠点を置くハイテク企業です。 PHPアプリケーションの自動セキュリティ分析を、ローカルソフトウェアインストールまたは高度にスケーラブルなクラウドサービスとして提供します。 特にPHP言語専用の革新的なコード分析アルゴリズムは、他のソリューションとは異なり、最新のアプリケーションの複雑なセキュリティの脆弱性を特定できます。 私たちの使命は、開発者とセキュリティの専門家に、可能な限り最も正確で効率的なセキュリティ分析を提供することです。
開発者が行う最も一般的なセキュリティミスは何だと思いますか?WordPressプラグインに見られる上位3つの脆弱性は何ですか?
当然のことながら、最も一般的な問題は、HTML応答ページへの適切なサニタイズなしでユーザー入力が印刷されるたびに発生するクロスサイトスクリプティング(XSS)の脆弱性です。 1つは、データの出力がPHPアプリケーションの最も一般的な操作であり、他の操作よりもセキュリティ違反の影響を受けやすいため、これらの問題が頻繁に発生します。 そして第二に、HTMLコンテキストの多様性とサニタイズにおけるその落とし穴を考えると、これらの問題は簡単に導入されます。 クロスサイトスクリプティング(XSS)の脆弱性は、WordPressで非常に深刻です。これは、たとえば、テンプレートエディターを介してPHPコードを挿入するために使用できるためです。 幸いなことに、管理者とのやり取りが必要です。
2番目に一般的な問題はSQLインジェクションの脆弱性です。 SQLインジェクションは、クロスサイトスクリプティングの脆弱性よりも深刻です。最悪の場合、SQLインジェクションを使用して、ユーザーの操作をまったく行わずに、データベースから機密情報(パスワードなど)を抽出できるためです。 その結果、完全に自動化された悪意のある攻撃に使用される可能性があります。
最も人気のある/ダウンロードされた1,000個のプラグインの全体的なセキュリティ体制はどの程度良いと思いますか、それとも悪いと思いますか?
私は1,000の最も人気のあるプラグインを詳細に調べていないので、これに答えるのは難しいです。 このような操作は完了するまでに何ヶ月もかかり、一部のプラグインは非常に頻繁に更新されるため、準備が整うまでに再起動する必要があります。
したがって、CodeRiskなどの自動化されたセキュリティサービスを使用することが重要である理由。 リポジトリで実行する自動化された未検証のソースコードスキャンから生成されたCodeRiskスコアからですが、スコアの悪いプラグインもありますが、ほとんどのコードは悪くないと言えます。 ただし、これらのプラグインのほとんどは非常に大きく、多くの機能を備えています。 これにより、どこかにバグが発生する可能性が自動的に高まります。 手動テストから、大きなプラグインには論理的な脆弱性があることが多いと言えます。
WordPressプラグイン開発者に提供しているものについて少し教えてください。
最新のプロジェクトCodeRiskは、開発者とユーザーがプラグインのコードのセキュリティリスクを無料で評価するのに役立ちます。 今のところ、これは公式のWordPressリポジトリでホストされているWordPressプラグインに限定されています。
WordPressリポジトリから新しいプラグインを自動的に取得し、PHPセキュリティスキャナーRIPSでスキャンします。 RIPSの詳細な結果は、理解しやすいリスク値にまとめられています。 この値は、悪用の成功の重大度、コードサイズに関連して検出された問題の量、および問題がサードパーティによって悪用される可能性を考慮に入れています。
プラグイン開発者は、自動化されたシステムを介して、独自のプラグインの完全な詳細結果を要求できます。 情報を使用して、考えられる脆弱性を修正し、コードを強化して、WordPressエコシステムをより安全にすることができます。 CodeRiskの背後にある考え方は、セキュリティに精通していなくても、プラグイン開発者が自分のコードの問題を自分で見つけられるようにすることです。 WordPressのセキュリティに関して多くの調査を行い、多くの脆弱性を開発者に報告していますが、プラグインが多すぎてすべてを手動で分析することはできません。
多くのプラグイン開発者が無料のソースコード分析サービスを購読して使用していますか? WordPressコミュニティからの反応はどうですか?
現在、CodeRiskを使用してプラグインのセキュリティ脆弱性のリスクを軽減しているプラグイン開発者は数十人います。 これまでに多くの良いフィードバックを受け取り、CodeRiskはすでに何百もの問題の解決に役立っています。
自動スキャナーは、悪用できない可能性のある誤検知やエッジケースを報告する傾向があります。 多くの開発者がセキュリティに精通していないことを考えると、彼らを助け、誤警報を避けるために何をしていますか?
ユーザーは、セキュリティリスクをもたらすコードを強調表示していることに注意する必要があります。 意図しないセキュリティの脆弱性の中には、他の発見も含まれます。たとえば、後で脅威になる可能性のある弱い保護などです。
問題が将来セキュリティの脅威にならないようにするために、問題が悪用可能かどうか、またどのように悪用可能かを知る必要はありません。 たとえば、関数の戻り値を出力する場合は、クロスサイトスクリプティングの脆弱性を防ぐために、関数を適切にエンコードするようにしてください。 戻り値にまだユーザー入力が含まれていない場合でも、将来的にはそうではない可能性があります。
この無料のWordPressプロジェクトはどこに行くと思いますか? 計画はありますか? たぶん、手持ちの開発者にプレミアムサービスを提供し、彼らが結果を理解し、それらを最大限に活用するのを助けますか?
CodeRiskの次のリリースでは、WordPressテーマのサポートが追加されます。これは、WordPressテーマがほとんどのブログの不可欠な部分であり、多くの場合、脆弱性も含まれているためです。 ある時点で、CodeRiskを他のコンテンツ管理システムに拡張したいと思います。 現在、プレミアムサービスのプランはありませんが、十分な需要がある場合は変更される可能性があります。
WordPress開発者に、より安全なコードを記述できるように、従うべき2つまたは3つの安全な開発のベストプラクティスを提供できますか?
より安全なコードを書きたい場合は、既存のコードを盲目的に信頼しないでください。 関数がユーザー入力を返す可能性があることを常に想定し、それらをそのように扱います。 安全なPHPコードの記述方法に関する一般的な情報については、安全なPHPソフトウェアを構築するための2018年ガイドをご覧ください。
サービスの詳細については、CodeRiskのWebサイトにアクセスしてください。 また、WordPressプラグインの開発者であり、プラグインがWordPressプラグインリポジトリにある場合は、無料のアカウントにサインアップして、プラグインにどのような脆弱性があるかを確認してください。