Mae gan Blackboard raglen diogelwch gadarn sydd nid yn unig yn gweithredu i atal materion diogelwch rhag ymddangos, ond hefyd yn eu canfod. Mae Blackboard yn cynnal profion diogelwch mewnol yn barhaol ar lefel cod (dadansoddiad statig) a lefel rhaglen (dadansoddiad deinamig) i sicrhau eu bod yn bodloni disgwyliadau Blackboard a rhai ein cwsmeriaid. Ar ben hynny, er mwyn cael safbwynt newydd ar ein rhaglenni yn rheolaidd, mae Blackboard yn defnyddio profion treiddio diogelwch gan werthwyr diogelwch trydydd parti. Caiff unrhyw faterion a nodir eu trwsio'n gyflym.

Mae'n bwysig sylweddoli bod rhaglen diogelwch Blackboard yn arfer sy'n tyfu ac yn aeddfedu. Rydym yn gweithredu proses o welliant parhaus mewn perthynas â nodweddion diogelwch a chryfder cynnyrch Blackboard.


Wedi'i adeiladu â diogelwch mewn golwg

Mae Blackboard yn ymroddedig i ddarparu rhaglenni diogel i’n cleientiaid. Mae Blackboard yn datblygu ein cynnyrch yn unol â set o ganllawiau peirianneg diogelwch a ddaw o nifer o sefydliadau megis yr Open Web Application Security Project (OWASP), gan gynnwys mesurau yn erbyn deg prif wendid yr OWASP. Mae Blackboard yn cynnwys yr arferion diogelwch hyn ym mhob cam o’r cylch oes datblygu meddalwedd (SDLC).

Mae Blackboard yn defnyddio sawl dull i amddiffyn ein rhaglenni gan gynnwys asesiadau diogelwch "o'r top i'r gwaelod" trwy Fodelu Bygythiadau yn ogystal â chanfod bygythiadau ar lefel cod trwy ddadansoddiad statig, dadansoddiad deinamig, a'n profion treiddio ein hunain.

Mae Blackboard yn dilyn canllawiau arfer gorau gan nifer o sefydliadau er mwyn helpu cryfhau diogelwch ein cynnyrch a rhaglenni. Fe restrir rhai o'r sefydliadau yma:

  • Y Sefydliad Cenedlaethol Safonau a Thechnoleg (NIST)
  • Asiantaeth Diogelwch Rhwydwaith a Gwybodaeth Ewropeaidd (ENISA)
  • Sefydliad SANS
  • Open Web Application Security Project (OWASP)
  • Cynghrair Diogelwch Cwmwl (CSA)

Modelu bygythiadau

Wrth i nodweddion newydd gael eu datblygu, mae'r Tîm Diogelwch yn asesu'r gofynion a dyluniad y system i helpu lliniaru risgiau trwy berfformio Modelu Bygythiadau. Proses strwythuredig yw Modelu Bygythiadau lle mae bygythiadau diogelwch sy'n berthnasol i'w nodwedd dan sylw yn cael eu nodi er mwyn gallu adnabod gwrth-fesurau diogelwch priodol a'u rhoi ar waith.


Codio diogel a 10 prif wendid OWASP

Datblygir cynnyrch Blackboard yn unol â set o ganllawiau datblygu sy'n deillio o OWASP, gan gynnwys gwrth-fesurau penodol ar gyfer Deg Prif Wendid OWASP  ar gyfer 2013.

A1: Chwistrelliad (chwistrelliad SQL/DOM/LDAP)Ein safon codio yw defnyddio newidynnau rhwymo ac osgoi trawsgrifio gwerthoedd llythrennol yn natganiadau SQL. Cyfyngir swyddogaethau LDAP i ddilysiad.
A2: Dilysiad Toredig a Rheoli SesiynauMae cynnyrch Blackboard yn rhedeg dan TLS yn unig, felly mae'r holl gwcis wedi'i hamgryptio.
A3: Sgriptio ar draws Safleoedd (XSS)Caiff sgriptio ar draws safleoedd ei liniaru trwy ddefnyddio llyfrgelloedd a rennir megis ESAPI a safonau datblygu. Mae disgwyl bod unrhyw destun a gyflwynir gan ddefnyddwyr yn cael ei basio trwy ddulliau glanhau; ac mae disgwyl bod unrhyw fathau eraill o fewnbwn (dyddiadau, gwerthoedd dewisiadau/opsiynau) yn cael eu creu o wrthrychau a deipir mewn parthau, yn hytrach na chael eu trawsgrifio'n uniongyrchol o fewnbwn gan ddefnyddwyr.
A4: Cyfeirnodau Gwrthrychau Anuniongyrchol AnniogelCaiff yr holl wrthrychau rhaglenni eu cyfeirio trwy "dynodwyr" sydd fel arfer yn mapio i'r allwedd gynradd. Fodd bynnag, caiff yr holl wrthrychau eu mapio yn erbyn "cyd-destun" a dyma hefyd lle mae gwiriadau diogelwch yn cael eu cynnal." Er enghraifft, gallai cais gyfeirio at "id neges" sef postiad bwrdd trafod ar gyfer cwrs. Proses safonol Blackboard yw cynnal gwiriad awdurdodi ar gyfer y breintiau sy'n gysylltiedig â rôl defnyddiwr.
Mewn achosion lle nad yw'r safon hon yn cael ei roi ar waith yn y modd cywir, mae'r dasg union yn syml, gan fod yr holl endidau data a amddiffynnir yn y system yn mapio i gyd-destun diogelwch (cwrs neu barth).
A5: Camffurfweddiad DiogelwchMae Blackboard yn dilyn polisi diogel-yn-ddiofyn gyda Nodiadau Rhyddhau a Dogfennaeth yn cael eu paratoi pan fod angen ystyriaeth arbennig gan Weinyddwr y System. Mae Blackboard yn annog cwsmeriaid i ddilyn ei ganllaw ar arferion gorau o ran Ffurfweddiad Diogel pan fod un ar gael a'i bod yn berthnasol i'ch cynnyrch Blackboard priodol.

Archwilio Diogelwch
Caiff Digwyddiadau Diogelwch eu cofnodi mewn cofnodion penodol ar ddiogelwch.

Datgeliad Gwybodaeth a Thrin Camgymeriadau
Caiff prosesau safonol ar drin camgymeriadau (trwy dempled tudalen safonol a llyfrgell tagiau) eu rhoi ar waith gyda phob tudalen, gan arwain at allbwn safonol ar gyfer camgymeriadau, yn arbennig camgymeriadau nas adnabyddir. Gall yr allbwn safonol gynnwys olrhain y dulliau (mân ddatgeliad o wybodaeth), ond dim o'r data a oedd yn cael ei brosesu pan fethodd y cais ac mae'n weladwy i'r sawl gyda mynediad lefel gweinyddwr yn unig. Nid yw defnyddwyr difreintiedig (megis myfyrwyr) yn gallu gweld manylion manwl o'r dulliau a ddefnyddiwyd.

A6: Dinoethiad at Ddata SensitifYn safonol mae Blackboard yn defnyddio proses 'hash a halltu' mewn perthynas â chyfrineiriau defnyddwyr gyda SHA-160.

Mae cynnyrch Blackboard yn cefnogi rhedeg dan TLS; fodd bynnag, cyfrifoldeb y defnyddiwr yw ffurfweddu TLS yn gywir pan fyddant yn lletya eu cynnyrch eu hunain.

A7: Rheoli Mynediad Lefel at Swyddogaethau CollCaiff hyn ei reoli ar ddwy lefel -- sy'n golygu bod rhesymeg busnes yn gorfodi gwiriadau awdurdodi, a gan sicrhau bod achosion prawf Sicrhau Ansawdd yn ymdrin â gofynion awdurdodaeth ar gyfer gwahanol sgriniau.
A8: Ffugio Cais ar draws Safleoedd (CSRF)Mae ein fframwaith diogelwch yn dilyn argymhellion OWASP ar gyfer gwerthoedd untro fesul cais a semanteg POSTIAD-yn unig. Mae ceisiadau AJAX yn defnyddio gwerthoedd untro fesul sesiwn.
A9: Defnyddio Cydrannau gyda Gwendidau HysbysCaiff hyn ei liniaru trwy gynnal sganiau gwendidau rheolaidd o'n hisadeiledd a phecynnau meddalwedd trydydd parti i adnabod cydrannau gyda gwendidau hysbys ac i ddatblygu map ffordd i uwchraddio'r rhai gyda chlytiau ar gael.
A10: Ailgyfeiriadau a Danfoniadau Ymlaen heb eu DilysuMae Safon Codio Ddiogel Blackboard yn gofyn i ailgyfeiriadau a danfoniadau ymlaen ddilysu eu bod yn gyfeiriadau lleol. Caiff y gwendid hwn ei brofi'n rheolaidd.

Mae unrhyw ddatganiad am ddisgwyliadau at y dyfodol, cynlluniau a rhagolygon ar gyfer Blackboard yn cynrychioli safbwynt cyfredol y cwmni. Gall y canlyniadau go iawn amrywio i raddau oherwydd amryw ffactorau pwysig. Mae'r cwmni'n rhagweld y bydd digwyddiadau a datblygiadau dilynol yn achosi newidiadau yn safbwynt y cwmni. Fodd bynnag, tra bod y cwmni'n gallu dewis diweddaru'r datganiadau hyn ar ryw adeg yn y dyfodol, mae'r cwmni'n gwadu unrhyw rwymedigaeth i wneud hynny'n benodol.