ស្វែងយល់អំពីបញ្ហាសុវត្ថិភាពនៅក្នុង symfony3

នៅក្នុងមេរៀននេះនឹងពន្យល់អ្នកអំពី របៀបនៃការក្ដោបក្ដាប់នូវបញ្ហានៃសុវត្ថិភាពរបស់ Symfony ដោយក្រុមស្នូលរបស់ Symfony (Symfony បានបង្ហោះកូដនៅកន្លែងសំខាន់មួយគឺ symphony/symphony Git repository)។

១) ការរាយការណ៏អំពីបញ្ហាសុវត្ថិភាព

ប្រសិនបើអ្នកគិតថាអ្នកបានរកឃើញនូវបញ្ហាផ្នែកសុវត្ថិភាពនៅក្នុង Symfony នោះសូមអ្នកកុំប្រើនូវ bug tracker និងមិនត្រូវដាក់វាជាសាធារណៈនោះឡើយ។ ផ្ទុយទៅវិញ បញ្ហាផ្នែកសុវត្ថិភាពទាំងអស់នេះត្រូវផ្ញើរទៅកាន់ security [at] symphony.com។ អ៊ីម៉េលដែលបានផ្ញើរទៅកាន់អាស័យដ្ឋានមួយនេះគឺបញ្ជូនទៅកាន់ ក្រុមស្នូលរបស់ Symfony (symfony core-team) ដោយប្រើនូវ mailing-list ជាលក្ខណៈឯកជន។

២) ការដោះស្រាយដំណើរការ

សម្រាប់ការរាយការណ៏នីមួយៗ អ្នកត្រូវព្យាយាមបញ្ជាក់អំពីភាពងាយរងគ្រោះជាមុនសិន។ ពេលដែលវាត្រូវបានបញ្ជាក់រួចហើយ ក្រុមស្នូលនឹងធ្វើការទៅលើដំណោះស្រាយទៅតាមជំហ៊ានទាំងអស់នេះ៖

ក) ផ្ញើរនូវសេចក្ដីថ្លែងអំណរគុណទៅកាន់អ្នកដែលបានរាយការណ៏

ខ)​ ធ្វើការនៅលើចំណុចដែលខ្វះខាត

គ) ទទួលនូវ CVE identifier ពី mitre.org

ឃ) សរសេរប្រកាសនូវសុវត្ថិភាពសម្រាប់ Symfony blog ជាផ្លូវការ អំពីភាពដែលងាយរងគ្រោះ។ ការបង្ហោះនេះគួរតែផ្ទុកនូវព័ត៌មានដូចខាងក្រោម៖

  • ចំណងជើងដែលតែងតែបញ្ចូលនូវពាក្យ “Security release”
  • ព៌ណនាអំពីភាពដែលងាយរងគ្រោះ
  • កំណែដែលងាយរងផលប៉ះពាល់
  • ការកេងប្រវ័ញ្ចដែលអាចធ្វើទៅបាន
  • របៀបដែលធ្វើការប៉ះប៉ូវ ការដែលធ្វើអោយប្រសើរឡើង និងដំណោះស្រាយដែលរងផលប៉ះពាល់ដល់ប្រព័ន្ធ
  • CVE identifier
  • Credits

ង) ផ្ញើរការប៉ះប៉ូវនិងការប្រកាសទៅកាន់អ្នកដែលរាយការណ៏សម្រាប់ធ្វើការត្រួតពិនិត្យ

ច) អនុវត្តនូវការប៉ះប៉ូវទៅកាន់កំណែរក្សាទាំងអស់នៃ Symfony

ឆ) ខ្ចប់នូវកំណែថ្មីសម្រាប់កំណែដែលរងផលប៉ះពាល់ទាំងអស់

ជ) ដាក់ការបង្ហោះ (post) ជាសាធារណៈនៅលើ Symfony blog ជាផ្លូវការ (វាក៏ត្រូវតែបន្ថែមនូវ “Security Advisories” category ផងដែរ)

ឈ) Update នូវ security advisory list (មើលខាងក្រោម)

ញ) Update នូវ security advisories database ជាសាធារណៈដែលត្រូវបានថែទាំដោយ អង្គការ FriendsOfPHP និងដែលប្រើដោយ security:check command។

៣)​ ការសហការជាមួយនឹង Downstream Open-Source Projects

ដោយ​ Symfony ត្រូវបានប្រើប្រាស់ដោយ Open-Source projects ធំៗជាច្រើន យើងបានកំណត់វិធីជាស្តង់ដាសម្រាប់ក្រុមសុវត្ថិភាពរបស់ Symfony ក្នុងការសហការគ្នានៅលើបញ្ហាសុវត្ថិភាពជាមួយនឹង downstream projects។ ដំណើរការនៃការងារគឺដូចខាងក្រោមនេះ៖

ក) បន្ទាប់ពី ក្រុមសុវត្ថិភាពរបស់ Symfony បានធ្វើការទទួលស្គាល់នូវបញ្ហាសុវត្ថិភាពរួចហើយនោះ វានឹងផ្ញើរអ៊ីម៉េលភ្លាមទៅកាន់ ក្រុមសុវត្ថិភាពរបស់ downstream project ដើម្បីបញ្ជាក់ពួកគេអំពីបញ្ហា

ខ) ក្រុមសុវត្ថិភាពរបស់ Symfony បង្កើតនូវ Git repository ជាលក្ខណៈឯកជនមួយដើម្បីងាយស្រួលក្នុងការសហការគ្នាចំពោះបញ្ហានិងការចូលទៅកាន់ repository មួយនេះគឺត្រូវផ្ដល់ទៅអោយក្រុមសុវត្ថិភាពរបស់ Symfony ដើម្បីអោយអ្នកដែលរួមចំណែករបស់ Symfony ដែលត្រូវបានរងផលប៉ះពាល់ដោយបញ្ហានេះនិងដើម្បីអោយមានតំណាងម្នាក់នៃ downstream projects នីមួយៗ

គ) អ្នកទាំងអស់ដែលចូលទៅកាន់ repository ដែលមិនមែនសាធារណៈនោះ ធ្វើការទៅលើដំណោះស្រាយដើម្បីដោះស្រាយនូវបញ្ហាតាមរយៈការទាញយកសំណើ ការពិនិត្យនូវកូដ និងការ comments

ឃ) នៅពេលដែលការជួសជុលត្រូវបានរកឃើញ នោះគម្រោងដែលពាក់ព័ន្ធទាំងអស់ធ្វើការសហការគ្នាដើម្បីស្វែងរកថ្ងៃពិសេសមួយសម្រាប់ធ្វើការចេញផ្សាយ (ទាំងនេះគឺមិនធានាថាការចេញផ្សាយទាំងអស់អាចនឹងក្នុងពេលតែមួយទេប៉ុន្តែ យើងនឹងព្យាយាមដើម្បីធ្វើអោយពួកគេស្ថិតក្នុងពេលតែមួយ)។ ពេលដែលបញ្ហាគឺមិនត្រូវគេរកឃើញថាទាញយកផលប្រយោជន៏ពីខាងក្រៅ នោះរយៈពេលប្រហែលជា២សប្ដាហ៏អាចនឹងគិតថាជាពេលដែលអាចទទួលយកបាន។

តារាងនៃគម្រោង downstream បានចូលរួមចំណែកក្នុងដំណើរការក្នុងការរក្សាអោយតូចបំផុតតាមដែលអាចធ្វើទៅបានដើម្បីគ្រប់គ្រងនូវលំហូរនៃព័ត៌មានសម្ងាត់មុននឹងធ្វើការបង្ហាញ។ ក៏ដូចជា គម្រោងដែលបញ្ចូលទៅក្នុងការសម្រេចចិត្តតែមួយគត់នៃក្រុមសុវត្ថិភាពរបស់ Symfony ។

នៅថ្ងៃនេះ គម្រោងដូចខាងក្រោមនេះបានធ្វើអោយមានសុពលភាពនៃដំណើរការនេះនិងជាផ្នែកនៃគម្រោង downstream ដែលបញ្ចូលនូវដំណើរការនេះ៖

  • Drupal
  • eZPublish

៤) Security Advisories

នៅក្នុងចំណុចនេះ គឺជាការចេញផ្សាយនូវបញ្ហានិងការប៉ះពាល់របស់ Symfony ដែលត្រូវបានជួសជុលរួចរាល់ដោយចាប់ផ្ដើមពី Symfony 1.0.0៖