Google 开始与 CMS 社区进行严肃的安全谈判
Posted: Wed Feb 19, 2025 5:23 am
目录
我们几乎赢得了 HTTPS 之战,但安全战争永远不会结束
那么,我们如何才能尽快保护尽可能多的站点呢?
1. 第三方组件和完整性控制
2. 漏洞披露与奖励
3.自动更新
4. 共享知识和工具
上周,芝加哥成为地球上最冷的地方!这在新闻中随处可见。气温降至 -30 摄氏度(-22 华氏度),风寒指数为 -50。我很幸运能在那里目睹这场罕见的极地涡旋。然而,我去芝加哥参加的是另一场活动,虽然没有成为新闻,但同样令人兴奋——Google CMS 安全峰会。
来自 Google、不同 CMS 平台和托管公司的近 30 名 巴西 whatsapp 数据 顶级安全专家齐聚一堂,讨论如何让互联网成为所有人的更安全的地方。作为 SiteGround 的代表,我觉得自己很幸运能够参与这次讨论。
两天来,我们与 WordPress、Drupal、Joomla!、PrestaShop、TYPO3、Squarespace、Symfony、Sucuri、Wordfence 等公司的代表进行了交谈。看到在吸引最终用户使用其平台方面相互竞争的组织实际上能够为了使互联网更安全这一更高目标而团结起来,这令人鼓舞。
我们几乎赢得了 HTTPS 之战,但安全战争永远不会结束
考虑到谷歌在网络安全领域发挥的重要作用,谷歌组织这次活动并不令人意外。一个简单的例子就是谷歌大力支持的 Let's Encrypt 免费 SSL 计划对加密采用产生了积极影响。根据Chrome 统计数据,HTTPS 使用率已从 35% 增加到 90% 以上:
像 SiteGround 这样的托管公司为用户提供 Let's Encrypt SSL,他们的努力在加密的大规模采用中也发挥了重要作用。然而,尽管 90% 的采用率看起来很好,但上面的图表也显示了一些令人不安的事情。实现这一目标花了三年多的时间。这太长了!我们聚集在芝加哥,站在安全战的前线。加密很棒,但它并不能解决所有问题。网站仍然被黑客入侵。近年来,CMS 平台遭受了重大安全问题。第三方插件和主题每天都被利用。漏洞没有得到适当披露。这样的例子不胜枚举。
那么,我们如何才能尽快保护尽可能多的站点呢?
活动期间,安全社区确定了需要采取行动的四个主要领域。
1. 第三方组件和完整性控制
作为一家托管公司,我们亲眼看到,大多数安全问题都是由不属于核心平台代码库的附加插件、模块和主题引入的漏洞引起的。
2018 年,SiteGround 编写了 250 条新的自定义 WAF 规则来解决这些问题。我们知道,并非每家托管公司都有资源来监控安全公告、分析问题、比较补丁、审查代码和编写 WAF 规则。最终目标不是用防火墙规则对抗类似的问题(毕竟,所有 CMS 平台都有数十万个插件、模块、主题和扩展),而是从一开始就防止它们发生。
我们发现需要从以下几个方面开展工作,以更好地保护网站:
更好的插件/主题代码审查程序
静态代码分析的实现
软件包签名可提高 CMS/插件/主题的真实性及其完整性
扩展开发人员的安全认证计划
2. 漏洞披露与奖励
确定了两个主要问题。
尽管对于披露软件漏洞的最佳做法存在一些共识,但实际上并没有被广泛接受的官方标准。
最近,制定 PHP 标准的官方工作组 ( https://www.php-fig.org ) 重新开始了两份包含建议的文档 (PSR 9 和 PSR 10) 的编写工作,旨在解决这一问题。最终草案准备就绪后,社区将立即发布它们。我们希望大部分 CMS 平台都能采用这些标准。这样,报告和修复问题的流程以及向公众通报信息的方式都将得到改进。
第二个问题是,目前大多数平台都没有奖励计划来奖励负责任地披露安全漏洞的人。这种情况必须改变。然而,由于许多开源 CMS 平台都是以非营利组织的形式运营的,因此很难实现这一点。
3.自动更新
当发现安全问题时,尽快修复代码至关重要。然而,并不是每个人都有同样的紧迫感。对于互联网上有数百万个站点的最流行的 CMS 平台(如 WordPress、Drupal、Joomla! 等)来说,这是一个更大的问题。
答案是自动更新。目前,WordPress 是唯一提供自动更新的 CMS。在 SiteGround,我们相信最终目标是让每个 CMS 及其所有插件和主题在每次发布新版本时自动更新。我们为 WordPress 和 Joomla! 用户进行常规大规模自动更新的经验表明,当默认启用自动更新时,被黑客入侵的网站数量会大幅减少。Google Chrome 浏览器也会自动更新。这也将成为 CMS 平台的主要卖点,这只是时间问题。
芝加哥诞生了一个想法。该小组将致力于制定自动更新标准。这样,某些平台的开发人员将能够提出自己的实现,同时又能遵守标准。
4. 共享知识和工具
安全是一个过程。这不是一个你达到一次就忘掉的目标。每个过程都可以通过使用合适的工具来改进。目前,共享工具并不常见。在安全方面,公司使用专有工具,将某些任务外包给第三方公司,并且不与其他组织共享信息。为了大规模保护网络,我们需要共同努力。我们需要共享信息并提出每个人都可以使用并可以做出贡献的开源工具。
WordPress 和 Joomla! 社区提供了两个很好的例子。当有新的安全版本可用时,Joomla! 安全团队会将 mod_security WAF 规则发送给托管公司。这些规则由 Joomla! 安全团队测试,并可立即应用于服务器以保护网站所有者。这样,网站所有者就有了一个安全的窗口来更新他们的网站。当安全版本可用时,WordPress 安全团队也会与托管公司密切合作。他们出色地确保了 1/3 的互联网安全并保持更新。WordPress 托管公司还经常共享 WAF 规则以保护用户。
对工具的需求是显而易见的。未来几年我们将看到越来越多的工具出现。
我很高兴上周去了芝加哥。这次活动只是一件了不起的事情的开始。仅仅一周后,就有一份长达 15 页的共享文档,其中充满了正在积极讨论的想法。在我撰写这篇博文时,一个工作组将很快成立,行动项目正在制定中。我不能分享更多细节,但我可以说,在接下来的几个月里,安全社区将非常忙碌。
我们几乎赢得了 HTTPS 之战,但安全战争永远不会结束
那么,我们如何才能尽快保护尽可能多的站点呢?
1. 第三方组件和完整性控制
2. 漏洞披露与奖励
3.自动更新
4. 共享知识和工具
上周,芝加哥成为地球上最冷的地方!这在新闻中随处可见。气温降至 -30 摄氏度(-22 华氏度),风寒指数为 -50。我很幸运能在那里目睹这场罕见的极地涡旋。然而,我去芝加哥参加的是另一场活动,虽然没有成为新闻,但同样令人兴奋——Google CMS 安全峰会。
来自 Google、不同 CMS 平台和托管公司的近 30 名 巴西 whatsapp 数据 顶级安全专家齐聚一堂,讨论如何让互联网成为所有人的更安全的地方。作为 SiteGround 的代表,我觉得自己很幸运能够参与这次讨论。
两天来,我们与 WordPress、Drupal、Joomla!、PrestaShop、TYPO3、Squarespace、Symfony、Sucuri、Wordfence 等公司的代表进行了交谈。看到在吸引最终用户使用其平台方面相互竞争的组织实际上能够为了使互联网更安全这一更高目标而团结起来,这令人鼓舞。
我们几乎赢得了 HTTPS 之战,但安全战争永远不会结束
考虑到谷歌在网络安全领域发挥的重要作用,谷歌组织这次活动并不令人意外。一个简单的例子就是谷歌大力支持的 Let's Encrypt 免费 SSL 计划对加密采用产生了积极影响。根据Chrome 统计数据,HTTPS 使用率已从 35% 增加到 90% 以上:
像 SiteGround 这样的托管公司为用户提供 Let's Encrypt SSL,他们的努力在加密的大规模采用中也发挥了重要作用。然而,尽管 90% 的采用率看起来很好,但上面的图表也显示了一些令人不安的事情。实现这一目标花了三年多的时间。这太长了!我们聚集在芝加哥,站在安全战的前线。加密很棒,但它并不能解决所有问题。网站仍然被黑客入侵。近年来,CMS 平台遭受了重大安全问题。第三方插件和主题每天都被利用。漏洞没有得到适当披露。这样的例子不胜枚举。
那么,我们如何才能尽快保护尽可能多的站点呢?
活动期间,安全社区确定了需要采取行动的四个主要领域。
1. 第三方组件和完整性控制
作为一家托管公司,我们亲眼看到,大多数安全问题都是由不属于核心平台代码库的附加插件、模块和主题引入的漏洞引起的。
2018 年,SiteGround 编写了 250 条新的自定义 WAF 规则来解决这些问题。我们知道,并非每家托管公司都有资源来监控安全公告、分析问题、比较补丁、审查代码和编写 WAF 规则。最终目标不是用防火墙规则对抗类似的问题(毕竟,所有 CMS 平台都有数十万个插件、模块、主题和扩展),而是从一开始就防止它们发生。
我们发现需要从以下几个方面开展工作,以更好地保护网站:
更好的插件/主题代码审查程序
静态代码分析的实现
软件包签名可提高 CMS/插件/主题的真实性及其完整性
扩展开发人员的安全认证计划
2. 漏洞披露与奖励
确定了两个主要问题。
尽管对于披露软件漏洞的最佳做法存在一些共识,但实际上并没有被广泛接受的官方标准。
最近,制定 PHP 标准的官方工作组 ( https://www.php-fig.org ) 重新开始了两份包含建议的文档 (PSR 9 和 PSR 10) 的编写工作,旨在解决这一问题。最终草案准备就绪后,社区将立即发布它们。我们希望大部分 CMS 平台都能采用这些标准。这样,报告和修复问题的流程以及向公众通报信息的方式都将得到改进。
第二个问题是,目前大多数平台都没有奖励计划来奖励负责任地披露安全漏洞的人。这种情况必须改变。然而,由于许多开源 CMS 平台都是以非营利组织的形式运营的,因此很难实现这一点。
3.自动更新
当发现安全问题时,尽快修复代码至关重要。然而,并不是每个人都有同样的紧迫感。对于互联网上有数百万个站点的最流行的 CMS 平台(如 WordPress、Drupal、Joomla! 等)来说,这是一个更大的问题。
答案是自动更新。目前,WordPress 是唯一提供自动更新的 CMS。在 SiteGround,我们相信最终目标是让每个 CMS 及其所有插件和主题在每次发布新版本时自动更新。我们为 WordPress 和 Joomla! 用户进行常规大规模自动更新的经验表明,当默认启用自动更新时,被黑客入侵的网站数量会大幅减少。Google Chrome 浏览器也会自动更新。这也将成为 CMS 平台的主要卖点,这只是时间问题。
芝加哥诞生了一个想法。该小组将致力于制定自动更新标准。这样,某些平台的开发人员将能够提出自己的实现,同时又能遵守标准。
4. 共享知识和工具
安全是一个过程。这不是一个你达到一次就忘掉的目标。每个过程都可以通过使用合适的工具来改进。目前,共享工具并不常见。在安全方面,公司使用专有工具,将某些任务外包给第三方公司,并且不与其他组织共享信息。为了大规模保护网络,我们需要共同努力。我们需要共享信息并提出每个人都可以使用并可以做出贡献的开源工具。
WordPress 和 Joomla! 社区提供了两个很好的例子。当有新的安全版本可用时,Joomla! 安全团队会将 mod_security WAF 规则发送给托管公司。这些规则由 Joomla! 安全团队测试,并可立即应用于服务器以保护网站所有者。这样,网站所有者就有了一个安全的窗口来更新他们的网站。当安全版本可用时,WordPress 安全团队也会与托管公司密切合作。他们出色地确保了 1/3 的互联网安全并保持更新。WordPress 托管公司还经常共享 WAF 规则以保护用户。
对工具的需求是显而易见的。未来几年我们将看到越来越多的工具出现。
我很高兴上周去了芝加哥。这次活动只是一件了不起的事情的开始。仅仅一周后,就有一份长达 15 页的共享文档,其中充满了正在积极讨论的想法。在我撰写这篇博文时,一个工作组将很快成立,行动项目正在制定中。我不能分享更多细节,但我可以说,在接下来的几个月里,安全社区将非常忙碌。