Ecco il Joomla Security Strike Team

Nella notte italiana il team di Joomla.org ha presentato ufficialmente il JSST, ovvero Joomla Security Strike Team.

Questa nuova squadra si occuperà esclusivamente di gestire e migliorare la sicurezza di Joomla.

JSST ha una pagina dedicata che illustra le attività in programma e molti dettagli di come verranno gestite situazioni critiche: in parole povere, non devono più accadere scenari come quello che ha portato alla release tempestiva di Joomla 1.5.6.

Il logo è fenomenale e sembra dire "Ragazzi tranquilli, ci siamo noi".

Obiettivi della squadra

1. Investigare ed intervenire sui problemi di sicurezza presenti nel codice di Joomla
2. Testare ogni release per identificare eventuali problemi
3. Fornire un punto di riferimento per la sicurezza di Joomla
4. Aiutare la community a capire la sicurezza di Joomla

Chi sono i membri di questo team?

Il team è coordinato da Anthony Ferrara, già Core Team Member/Development Coordinator, più conosciuto sui forum di Joomla.org come ircmaxell.

I membri della squadra sono persone che hanno già collaborato con Joomla ed altri esperti di sicurezza arruolati per l'occasione.

• Alan Langford, Development Workgroup Member, Communications Team Membe: instance sul forum.
• Kevin Devine, conosciuto come kdevine, Development Workgroup Member
• Russell Winter, russw, Sites & Infastructure Member
• Forest Mars, anche conosciuto sui forum come forestmars
• Dan Leone-Zwillinger, di cui Google ha trovato soltanto la pagina Facebook
• Emanuele Gentili, ragazzo italiano che ha parlato per primo (credo) della vulnerabilità scoperta pochi giorni fa ed ha subito proposto una patch.

Altri dettagli

Come riportato da Anthony Ferrara, la squadra è già al lavoro per identificare ogni problema riportato da Joomla 1.5.0 in avanti, attraverso una analisi molto approfondita del codice.

All'interno della home del JSST sono pubblicati gli ultimi problemi di sicurezza rilevati, articoli riguardanti la sicurezza pubblicati dal team di Joomla ed è presente un feed che consente di essere aggiornati su ogni problema di sicurezza.

E' stata stabilita una policy riguardante il comportamento da tenere nel caso venga rilevata una falla, ovvero

1. Le vulnerabilità saranno pubblicate soltanto dopo che è stata rilasciata una release che corregge il problema
2. Gli advisory di sicurezza saranno dettagliati a sufficenza ma non così tanto (come è accaduto pochi giorni fa) da permettere a chiunque di bucare un sito senza alcuna difficoltà nè sforzo

Sceriffi all'attacco

Il team avrà anche il compito di monitorare gli articoli pubblicati sul Web che non pubblicano informazioni del tutto corrette o addirittura fuorvianti. In questo caso, il team si attiverà per far modificare l'articolo oppure tolglierne la pubblicazione.

Se verranno pubblicati articoli che riportano vulnerabilità non ancora corrette, il team chiederà all'autore di sospendere la pubblicazione finchè non viene fixato il problema.

Come riportare i problemi di sicurezza

Sul sito è presente una comoda form che può essere utilizzata per contattare il Joomla Security Strike Team.

Ogni persona che riporterà un problema di sicurezza che poi risulterà essere vero riceverà in omaggio una maglietta di Joomla (si, sembra uno scherzo ma è vero!)

Benvenuto, JSST!

Tags: Joomla, Joomla Security Strike Team, JSST, Sicurezza, Sicurezza Joomla

Post correlati:
• Problema di sicurezza? Si, ma grave problema di comunicazione (7)
• JSST, squadra speciale per la sicurezza di Joomla (1)
• Rilasciato Joomla 1.5.7 (2)
• Problemi per yvComment, Rapid-recipe e EasyBook (1)
• Problemi di sicurezza per alcune estensioni di Joomla (1)

Questo post è stato scritto Saturday, August 23rd, 2008 alle 10:24 am ed è appartiene alle seguenti categorie: Joomla. Puoi seguire i commenti di questo post grazie al feed RSS 2.0. Puoi lasciare un commento, o farmi un link dal tuo sito.