تمتلك Blackboard برنامج أمان قويًا لا يعمل فقط على منع ظهور المشكلات الأمنية، بل يستأصلها من جذورها أيضًا. وتحرص Blackboard على إجراء اختبار أمان داخلي متواصل على مستوى التعليمات البرمجية (التحليل الثابت) ومستوى التطبيق (التحليل الديناميكي) لضمان استيفائه لتوقعات Blackboard وتوقعات عملائنا. علاوة على ذلك، حتى نضع تطبيقاتنا تحت أعين مراقبة جديدة بشكل منتظم، تجري Blackboard اختبار اختراق أمني من مقدمي خدمات أمنية خارجيين. ومن المقرر أن تخضع أي مشكلات يتم التعرف عليها للإصلاح على وجه السرعة.

من المهم أن تدرك أن برنامج الأمان في Blackboard ممارسةٌ خاضعة للنضج والتطور. فنحن لا نتوانى عن العمل على التحسين المستمر لرفع مستوى الميزات الأمنية والمتانة في منتجات Blackboard.


التصميم مع وضع الأمان في الاعتبار

تلتزم Blackboard بتزويد عملائنا بتطبيقات آمنة. ومن ثم فإن Blackboard لا تتوقف عن تطوير منتجاتنا وفقًا لمجموعة من إرشادات هندسة الأمان المستمدة من العديد من المنظمات مثل مشروع أمان تطبيق الويب المفتوح (OWASP)، بما في ذلك تدابير مضادة خاصة لأخطر عشرة ثغرات أمنية في OWASP. كما تدمج Blackboard ممارسات الأمان هذه في جميع مراحل دورة حياة تطوير البرامج (SDLC).

تستخدم Blackboard عدة طرق لحماية تطبيقاتنا بما في ذلك تقييمات الأمان التنازلية من خلال نمذجة التهديدات وتحليلها بالإضافة إلى اكتشاف تصاعدي لأي تهديد على مستوى التعليمات البرمجية من خلال تحليل ثابت وتحليل ديناميكي واختبار للاختراق اليدوي.

تتبع Blackboard الإرشادات المتوفرة بشأن أفضل الممارسات من العديد من المنظمات للمساعدة على تعريز أمان منتجاتنا وبرامجنا. فيما يلي بعض من تلك المنظمات:

  • المعهد القومي للمعايير والتكنولوجيا (NIST)
  • الشبكة الأوروبية ووكالة أمان المعلومات (ENISA)
  • معهد SANS
  • مشروع أمان تطبيق الويب المفتوح (OWASP)
  • تحالف أمان مجموعة النظراء (CSA)

نمذجة التهديدات

مع تطوير ميزات جديدة، يحرص فريق الأمن على تقييم المتطلبات وتصميم النظام للمساعدة في تخفيف المخاطر عن طريق تنفيذ نمذجة التهديدات. علمًا بأن نمذجة التهديدات عمليةٌ منظمة يتم خلالها تحديد التهديدات الأمنية ذات الصلة بالميزة قيد المراجعة بحيث يمكن الوقوف على التدابير الأمنية المناسبة وتطبيقها.


الترميز الآمن وأخطر 10 ثغرات أمنية في OWASP

يتم تطوير منتجات Blackboard وفقًا لمجموعة من إرشادات التطوير المستمدة من OWASP، بما في ذلك تدابير مضادة خاصة لأخطر عشرة ثغرات أمنية في OWASP لعام 2013.

A1: الهجوم عن طريق الحقن (حقن SQL/DOM/LDAP)معيار الترميز الخاص بنا هو استخدام متغيرات الربط وتجنب القيم الحرفية المنسوخة في عبارات SQL. تقتصر وظيفة LDAP على المصادقة.
A2: إدارة الجلسات والمصادقات المقطوعةلا تعمل منتجات Blackboard إلا ضمن TLS، لذلك يتم تشفير جميع ملفات تعريف الارتباط.
A3: البرمجة النصية للمواقع المشتركة (XSS)يتم تخفيف البرمجة النصية للمواقع المشتركة من خلال استخدام المكتبات المشتركة مثل ESAPI ومعايير التطوير. ومن المتوقع أن يتم تمرير جميع المدخلات النصية المقدمة من المستخدم النهائي عبر أساليب المطهر؛ كما أنه من المتوقع أن يتم إنشاء أي أنواع أخرى من المدخلات (التواريخ وقيم التحديد/الاختيار) من كائنات المجال المكتوبة، بدلاً من نسخها مباشرة من إدخال المستخدم.
A4: مراجع الكائنات المباشرة غير الآمنةتتم الإشارة إلى جميع كائنات التطبيقات عبر "معرفات" عادةً ما يتم ربطها بالمفتاح الأساسي. ومع ذلك، يتم ربط جميع الكائنات وتنفيذ كل عمليات التحقق من الأمان وفقًا "لسياق". على سبيل المثال، قد يشير طلب ما إلى "معرف رسالة" الذي هو عبارة عن مشاركة في لوحة مناقشة لمقرر دراسي. يتمثل معيار Blackboard في إجراء التحقق من التفويض للامتياز المصاحب لدور المستخدم.
في الحالات التي يفشل فيها فرض هذا المعيار بشكل صحيح، يكون الإصلاح بسيطًا، نظرًا لأن جميع كيانات البيانات المحمية في النظام مربوطة بسياق أمان (مقرر دراسي أو مجال).
A5: التكوين الخاطئ للأمانتتبع Blackboard سياسة آمنة بشكل افتراضي مع الاستفادة من ملاحظات الإصدار والوثائق عندما يكون اعتبار مسؤول النظام الخاص مطلوبًا. كما تشجع Blackboard العملاء على اتباع دليل أفضل ممارسات التكوين الآمن الذي تقدمه لهم عندما يتوفر ويكون ملائمًا لمنتج Blackboard الخاص بهم.

التدقيق الأمني
يتم تسجيل الأحداث الأمنية في سجلات خاصة بالأمان.

تسرب المعلومات ومعالجة الأخطاء
يتم تطبيق معالجة الأخطاء القياسية على جميع الصفحات (عبر قالب صفحة قياسي ومكتبة وسوم)، مما يؤدي إلى إخراج قياسي لجميع الأخطاء، وخاصة الأخطاء غير المعروفة. وقد يتضمن الإخراج القياسي تتبع التكدس (تسرب معلومات ثانوي)، ولكن ليس أيًا من البيانات التي كانت تتم معالجتها عند فشل الطلب، ويكون مرئيًا فقط لأولئك الذين لديهم حق الوصول على مستوى المسؤول. بينما المستخدمون الذين بلا امتيازات (مثل الطلاب) غير قادرين على رؤية تتبعات التكدسات المفصلة.

A6: كشف البيانات الحساسةيتمثل معيار Blackboard في تجزئة كلمات مرور المستخدمين وإضافة قيمة عشوائية لها باستخدام SHA-160.

دعم منتجات Blackboard قيد التشغيل ضمن TLS؛ ومع ذلك، تقع على جهة التوزيع مسؤولية تكوين TLS بشكل صحيح عندما يكون منتجها مستضافًا ذاتيًا.

A7: فقدان التحكم في الوصول إلى المستويات الوظيفيةتتم إدارة ذلك على مستويين -- المطالبة بأن يقوم منطق الأعمال بفرض عمليات التحقق من التفويض، ومن خلال الحرص على أن تغطي حالات اختبار ضمان الجودة متطلبات التفويض لشاشات مختلفة.
A8: تزييف طلب مواقع مشتركة (CSRF)يتبع الإطار الأمني الخاص بنا توصيات OWASP الخاصة بقيم nonce لكل طلب ودلالات POST فقط. تستخدم طلبات AJAX قيم nonce لكل جلسة.
A9: استخدام مكونات ذات ثغرات أمنية معروفةيتم تخفيف ذلك من خلال إجراء عمليات فحص منتظمة بحثًا عن الثغرات الأمنية على مستوى كل من البنية الأساسية وحزم البرامج التابعة لجهات خارجية لتحديد المكونات ذات الثغرات الأمنية المعروفة ولوضع خطة لترقية تلك التي لها تصحيحات متوفرة.
A10: عمليات إعادة التوجيه وإعادة الإرسال غير المتحقق من صحتهايتطلب معيار الترميز الآمن في Blackboard من عمليات إعادة التوجيه وإعادة الإرسال أن تقوم بالتأكيد على أنها عناوين محلية. يتم اختبار هذه الثغرة الأمنية بشكل منتظم.

تمثل أي بيانات حول التوقعات المستقبلية والخطط والآفاق الخاصة لدى Blackboard وجهات النظر الحالية للشركة. وقد تختلف النتائج الفعلية ماديًا نتيجة للعوامل المهمة المختلفة. كما تتوقع الشركة أن الأحداث والتحسينات اللاحقة ستؤدي إلى تغيير وجهات نظر الشركة. ومع ذلك، في حين أن الشركة قد تنتقي تحديث تلك البيانات في وقت ما بالمستقبل، فإن الشركة تخلي مسؤوليتها على وجه التحديد تجاه أي التزام بالقيام بذلك.