تمتلك Blackboard برنامج أمان قويًا لا يعمل فقط على منع ظهور المشكلات الأمنية، بل يستأصلها من جذورها أيضًا. وتحرص Blackboard على إجراء اختبار أمان داخلي متواصل على مستوى التعليمات البرمجية (التحليل الثابت) ومستوى التطبيق (التحليل الديناميكي) لضمان استيفائه لتوقعات Blackboard وتوقعات عملائنا. علاوة على ذلك، حتى نضع تطبيقاتنا تحت أعين مراقبة جديدة بشكل منتظم، تجري Blackboard اختبار اختراق أمني من مقدمي خدمات أمنية خارجيين. ومن المقرر أن تخضع أي مشكلات يتم التعرف عليها للإصلاح على وجه السرعة.

من المهم أن تدرك أن برنامج الأمان في Blackboard ممارسةٌ خاضعة للنضج والتطور. فنحن لا نتوانى عن العمل على التحسين المستمر لرفع مستوى الميزات الأمنية والمتانة في منتجات Blackboard.


التصميم مع وضع الأمان في الاعتبار

تلتزم Blackboard بتزويد عملائنا بتطبيقات آمنة. ومن ثم فإن Blackboard لا تتوقف عن تطوير منتجاتنا وفقًا لمجموعة من إرشادات هندسة الأمان المستمدة من العديد من المنظمات مثل مشروع أمان تطبيق الويب المفتوح (OWASP)، بما في ذلك تدابير مضادة خاصة لأخطر عشرة ثغرات أمنية في OWASP. كما تدمج Blackboard ممارسات الأمان هذه في جميع مراحل دورة حياة تطوير البرامج (SDLC).

تستخدم Blackboard عدة طرق لحماية تطبيقاتنا بما في ذلك تقييمات الأمان التنازلية من خلال نمذجة التهديدات وتحليلها بالإضافة إلى اكتشاف تصاعدي لأي تهديد على مستوى التعليمات البرمجية من خلال تحليل ثابت وتحليل ديناميكي واختبار للاختراق اليدوي.

تتبع Blackboard الإرشادات المتوفرة بشأن أفضل الممارسات من العديد من المنظمات للمساعدة على تعريز أمان منتجاتنا وبرامجنا. فيما يلي بعض من تلك المنظمات:

  • المعهد القومي للمعايير والتكنولوجيا (NIST)
  • الشبكة الأوروبية ووكالة أمان المعلومات (ENISA)
  • معهد SANS
  • مشروع أمان تطبيق الويب المفتوح (OWASP)
  • تحالف أمان مجموعة النظراء (CSA)

نمذجة التهديدات

مع تطوير ميزات جديدة، يحرص فريق الأمن على تقييم المتطلبات وتصميم النظام للمساعدة في تخفيف المخاطر عن طريق تنفيذ نمذجة التهديدات. علمًا بأن نمذجة التهديدات عمليةٌ منظمة يتم خلالها تحديد التهديدات الأمنية ذات الصلة بالميزة قيد المراجعة بحيث يمكن الوقوف على التدابير الأمنية المناسبة وتطبيقها.


الترميز الآمن وأخطر 10 ثغرات أمنية في OWASP

يتم تطوير منتجات Blackboard وفقًا لمجموعة من إرشادات التطوير المستمدة من OWASP، والتي تشتمل على تدابير مضادة محددة تتعلق بالثغرات الأمنية العشر الرئيسية في OWASP لعام 2013.

A1: الهجوم عن طريق الحقن (حقن SQL/DOM/LDAP)معيار الترميز الخاص بنا هو استخدام متغيرات الربط وتجنب القيم الحرفية المنسوخة في عبارات SQL. تقتصر وظيفة LDAP على المصادقة.
A2: إدارة الجلسات والمصادقات المقطوعةلا تعمل منتجات Blackboard إلا ضمن TLS، لذلك يتم تشفير جميع ملفات تعريف الارتباط.
A3: البرمجة النصية للمواقع المشتركة (XSS)يتم تخفيف البرمجة النصية للمواقع المشتركة من خلال استخدام المكتبات المشتركة مثل ESAPI ومعايير التطوير. ومن المتوقع أن يتم تمرير جميع المدخلات النصية المقدمة من المستخدم النهائي عبر أساليب المطهر؛ كما أنه من المتوقع أن يتم إنشاء أي أنواع أخرى من المدخلات (التواريخ وقيم التحديد/الاختيار) من كائنات المجال المكتوبة، بدلاً من نسخها مباشرة من إدخال المستخدم.
A4: مراجع الكائنات المباشرة غير الآمنةتتم الإشارة إلى جميع كائنات التطبيقات عبر "معرفات" عادةً ما يتم ربطها بالمفتاح الأساسي. ومع ذلك، يتم ربط جميع الكائنات وتنفيذ كل عمليات التحقق من الأمان وفقًا "لسياق". على سبيل المثال، قد يشير طلب ما إلى "معرف رسالة" الذي هو عبارة عن مشاركة في لوحة مناقشة لمقرر دراسي. يتمثل معيار Blackboard في إجراء التحقق من التفويض للامتياز المصاحب لدور المستخدم.
في الحالات التي يفشل فيها فرض هذا المعيار بشكل صحيح، يكون الإصلاح بسيطًا، نظرًا لأن جميع كيانات البيانات المحمية في النظام مربوطة بسياق أمان (مقرر دراسي أو مجال).
A5: التكوين الخاطئ للأمانتتبع Blackboard سياسة آمنة بشكل افتراضي مع الاستفادة من ملاحظات الإصدار والوثائق عندما يكون اعتبار مسؤول النظام الخاص مطلوبًا. كما تشجع Blackboard العملاء على اتباع دليل أفضل ممارسات التكوين الآمن الذي تقدمه لهم عندما يتوفر ويكون ملائمًا لمنتج Blackboard الخاص بهم.

التدقيق الأمني
يتم تسجيل الأحداث الأمنية في سجلات خاصة بالأمان.

تسرب المعلومات ومعالجة الأخطاء
يتم تطبيق معالجة الأخطاء القياسية على جميع الصفحات (عبر قالب صفحة قياسي ومكتبة وسوم)، مما يؤدي إلى إخراج قياسي لجميع الأخطاء، وخاصة الأخطاء غير المعروفة. وقد يتضمن الإخراج القياسي تتبع التكدس (تسرب معلومات ثانوي)، ولكن ليس أيًا من البيانات التي كانت تتم معالجتها عند فشل الطلب، ويكون مرئيًا فقط لأولئك الذين لديهم حق الوصول على مستوى المسؤول. بينما المستخدمون الذين بلا امتيازات (مثل الطلاب) غير قادرين على رؤية تتبعات التكدسات المفصلة.

A6: كشف البيانات الحساسةيتمثل معيار Blackboard في تجزئة كلمات مرور المستخدمين وإضافة قيمة عشوائية لها باستخدام SHA-160.

دعم منتجات Blackboard قيد التشغيل ضمن TLS؛ ومع ذلك، تقع على جهة التوزيع مسؤولية تكوين TLS بشكل صحيح عندما يكون منتجها مستضافًا ذاتيًا.

A7: فقدان التحكم في الوصول إلى المستويات الوظيفيةتتم إدارة ذلك على مستويين -- المطالبة بأن يقوم منطق الأعمال بفرض عمليات التحقق من التفويض، ومن خلال الحرص على أن تغطي حالات اختبار ضمان الجودة متطلبات التفويض لشاشات مختلفة.
A8: تزييف طلب مواقع مشتركة (CSRF)يتبع الإطار الأمني الخاص بنا توصيات OWASP الخاصة بقيم nonce لكل طلب ودلالات POST فقط. تستخدم طلبات AJAX قيم nonce لكل جلسة.
A9: استخدام مكونات ذات ثغرات أمنية معروفةيتم تخفيف ذلك من خلال إجراء عمليات فحص منتظمة بحثًا عن الثغرات الأمنية على مستوى كل من البنية الأساسية وحزم البرامج التابعة لجهات خارجية لتحديد المكونات ذات الثغرات الأمنية المعروفة ولوضع خطة لترقية تلك التي لها تصحيحات متوفرة.
A10: عمليات إعادة التوجيه وإعادة الإرسال غير المتحقق من صحتهايتطلب معيار الترميز الآمن في Blackboard من عمليات إعادة التوجيه وإعادة الإرسال أن تقوم بالتأكيد على أنها عناوين محلية. يتم اختبار هذه الثغرة الأمنية بشكل منتظم.

فئات الثغرات الامنيه السابقة في اعلي عشره OWASP

تنفيذ الملف الضارلا يتم استخدام الملفات التي تم تحميلها من قبل المستخدمين النهائيين غير المميزين كملفات تنفيذيه. المستخدمون المميزون (علي سبيل المثال ، الرغم من ذلك ، يمكن ان يقوم مسؤولو النظام بتحميل الحزم القابلة للتنفيذ التي تسمي الكتل البرمجية الانشائيه التي تزيد من وظائف النظام. ويتم الافتراض بان مسؤولي النظام هذا يفهمون المخاطر ويتبعون مراجعه مورد الصوت وتغيير ممارسات الاداره حول تثبيت اي كتل برمجيه انشائيه خارجيه.

تمثل أي بيانات حول التوقعات المستقبلية والخطط والآفاق الخاصة لدى Blackboard وجهات النظر الحالية للشركة. وقد تختلف النتائج الفعلية ماديًا نتيجة للعوامل المهمة المختلفة. كما تتوقع الشركة أن الأحداث والتحسينات اللاحقة ستؤدي إلى تغيير وجهات نظر الشركة. ومع ذلك، في حين أن الشركة قد تنتقي تحديث تلك البيانات في وقت ما بالمستقبل، فإن الشركة تخلي مسؤوليتها على وجه التحديد تجاه أي التزام بالقيام بذلك.


الالتزام بإدارة نقاط الضعف وسياسة الكشف

يتم التحكم في برنامج أداره الثغرات الامنيه الخاصة بالBlackboard من قبل "التزام التحكم في الواجهة العامة" وسياسة الكشف أدناه. لا يوجد مورد برامج مناسب في الحدث الذي تم فيه تحديد مشكله عدم حصانه الأمان في منتج تم إصداره ، ويكون فريق الأمان الخاص بالBlackboard جاهزا للرد.

للمساعدة في تسجيل الدخول ، يتعين عليك الاتصال بمكتب مساعده تكنولوجيا المساعدة الخاص بمؤسسك. لا يمتلك Blackboard حق الوصول إلى معلومات حساب مؤسستك أو مواقع الويب أو المحتوي. في حال عدم معرفتك لكيفية الاتصال بمكتب المساعدة، حاول البحث في الويب عن اسم مؤسستك + مكتب المساعدة، أو قم بالاطلاع على صفحة تسجيل الدخول الخاصة بك للحصول على رابط الدعم أو معلومات جهة الاتصال.

وتلتزم Blackboard بحل الثغرات الامنيه بسرعة وبحرص. قد يؤدي وجود مثل هذه المستويات إلى نشر النصائح الاستشارية للامان و/أو اي تحديث منتج مطلوب لعملاءنا. لحماية العملاء والبيانات الخاصة بهم ، اطلب من هذه المشاكل الطريقة مسؤول والكونفيدينتيالي التي أعلمنا بأنه بإمكاننا التحقق والرد. يجب الإعلان عن مشكلات عدم الحصانة حتى يتم تطوير تحديث المنتج وكومبريهينسيفيليه وجعله متاحا للعملاء المرخصين.

وتعتبر منتجات Blackboard معقده. ويتم تشغيلها علي العديد من عمليات تكوين الاجهزه والبرامج ، ويتم توصيلها بالعديد من تطبيقات الجهات الخارجية. تتطلب جميع تعديلات البرامج-كبيره أو صغيره-التحليل التام ، بالاضافه إلى التطوير والتنفيذ عبر بنود المنتجات والإصدارات المتعددة. ويجب ان يخضع البرنامج أيضا للترجمة وامكانيه الوصول والاختبار المناسب للنطاق والتعقيد والخطورة الخاصة به. تم إعطاء الاهميه الهامه لمنتجاتنا علي عملائنا ، وينبغي علي Blackboard ضمان تشغيلها بشكل صحيح فقط في "تسهيلات الاختبار" الخاصة بنا ، ولكنها أيضا في بيئات العملاء. وعلي الرغم من ذلك ، لا يمكن Blackboard توفير تحديثات المنتجات وفقا لمخطط زمني معين ، ولكننا تلتزم بالعمل اكسبيديتيوسلي.

غالبًا ما تستغل الجهات الضارة الثغرات الأمنية في البرامج عن طريق الهندسة العكسية لإرشادات الأمان المنشورة وتحديثات المنتجات. ومن المهم ان يقوم العملاء بتحديث البرنامج بشكل فوري واستخدام نظام تصنيف الخطورة الخاص بنا كدليل لجدوله الترقيات بشكل أفضل. التالي ، تكون المناقشة العامة لمشكله عدم الحصانة هذه سليمه فقط بعد حصول العملاء علي الفرصة للحصول علي تحديثات المنتج.

اختبار مشاكل عدم حصانه الأمان

ينبغي ان تقوم باجراء جميع الاختبارات الامنيه مقابل مثيلات غير تابعه للإنتاج الخاصة بمنتجاتنا لتقليل المخاطرة بين البيانات والخدمات.


كيفية الإبلاغ عن وجود ثغرة أمنية

كونفيدينتيالي مشاركه تفاصيل الثغرة الامنيه المحتملة بواسطة ملء نموذج تقديم الثغرة الامنيه.

قم بتوفير تفاصيل الثغرة الامنيه المحتملة بحيث يمكن ان يقوم فريق أمان الBlackboard بالتحقق من المشكلة وأعاده إنتاجها بسرعة. وبدون المعلومات الموجودة أعلاه ، قد يكون من الصعب عدم القيام بمعالجه الثغرة الامنيه المحتملة. ولن تتم معالجة التقارير التي تسرد العديد من الثغرات الأمنية المحتملة دون إضافة تفاصيل ويتم ذلك دون تقديم أي توضيح إضافي. ينبغي ان تتضمن التفاصيل ما يلي:

  • نوع مشكله عدم الحصانة;
  • ما إذا كان قد تم نشر المعلومات أو مشاركتها مع الجهات الأخرى ام لا.
  • المنتجات والإصدارات المتاثره;
  • تكوينات متاثره;
  • الإرشادات خطوه بخطوه أو الإثبات الخاص بالتعليمات البرمجية الخاصة بالتصور لأعاده إنتاج المشكلة.

Blackboard التزام الأمان

لريبورتيرس الثغرة الامنيه التي تتبع هذا النهج ، سيحاول Blackboard القيام بما يلي:

  • إقرار استلام تقريرك;
  • التحقق في الوقت المناسب ، مما يؤكد علي احتمال الثغرة الامنيه المحتملة ؛
  • قم بتوفير خطه واطار زمني لعنونه الثغرة الامنيه إذا رغبت في ذلك.
  • يمكنك اعلام المسجل بالثغرة الامنيه عند حل مشكله عدم الحصانة.

مساهمه يفيد

لا يحتوي Blackboard علي برنامج حصانه بونتي. ونتيجة لذلك ، لن توفر Blackboard التقييم أو التعويض للإبلاغ عن مشكلات عدم حصانه الأمان.