Mae gan Blackboard raglen diogelwch gadarn sydd nid yn unig yn gweithredu i atal materion diogelwch rhag ymddangos, ond hefyd yn eu canfod. Mae Blackboard yn cynnal profion diogelwch mewnol yn barhaol ar lefel cod (dadansoddiad statig) a lefel rhaglen (dadansoddiad deinamig) i sicrhau eu bod yn bodloni disgwyliadau Blackboard a rhai ein cwsmeriaid. Ar ben hynny, er mwyn cael safbwynt newydd ar ein rhaglenni yn rheolaidd, mae Blackboard yn defnyddio profion treiddio diogelwch gan werthwyr diogelwch trydydd parti. Caiff unrhyw faterion a nodir eu trwsio'n gyflym.

Mae'n bwysig sylweddoli bod rhaglen diogelwch Blackboard yn arfer sy'n tyfu ac yn aeddfedu. Rydym yn gweithredu proses o welliant parhaus mewn perthynas â nodweddion diogelwch a chryfder cynnyrch Blackboard.


Wedi'i adeiladu â diogelwch mewn golwg

Mae Blackboard yn ymroddedig i ddarparu rhaglenni diogel i’n cleientiaid. Mae Blackboard yn datblygu ein cynnyrch yn unol â set o ganllawiau peirianneg diogelwch a ddaw o nifer o sefydliadau megis yr Open Web Application Security Project (OWASP), gan gynnwys mesurau yn erbyn deg prif wendid yr OWASP. Mae Blackboard yn cynnwys yr arferion diogelwch hyn ym mhob cam o’r cylch oes datblygu meddalwedd (SDLC).

Mae Blackboard yn defnyddio sawl dull i amddiffyn ein rhaglenni gan gynnwys asesiadau diogelwch "o'r top i'r gwaelod" trwy Fodelu Bygythiadau yn ogystal â chanfod bygythiadau ar lefel cod trwy ddadansoddiad statig, dadansoddiad deinamig, a'n profion treiddio ein hunain.

Mae Blackboard yn dilyn canllawiau arfer gorau gan nifer o sefydliadau er mwyn helpu cryfhau diogelwch ein cynnyrch a rhaglenni. Fe restrir rhai o'r sefydliadau yma:

  • Y Sefydliad Cenedlaethol Safonau a Thechnoleg (NIST)
  • Asiantaeth Diogelwch Rhwydwaith a Gwybodaeth Ewropeaidd (ENISA)
  • Sefydliad SANS
  • Open Web Application Security Project (OWASP)
  • Cynghrair Diogelwch Cwmwl (CSA)

Modelu bygythiadau

Wrth i nodweddion newydd gael eu datblygu, mae'r Tîm Diogelwch yn asesu'r gofynion a dyluniad y system i helpu lliniaru risgiau trwy berfformio Modelu Bygythiadau. Proses strwythuredig yw Modelu Bygythiadau lle mae bygythiadau diogelwch sy'n berthnasol i'w nodwedd dan sylw yn cael eu nodi er mwyn gallu adnabod gwrth-fesurau diogelwch priodol a'u rhoi ar waith.


Codio diogel a 10 prif wendid OWASP

Datblygir cynhyrchion Blackboard yn unol â set o ganllawiau datblygu sy'n deillio o OWASP, gan gynnwys gwrth-fesurau penodol ar gyfer Deg Prif Wendid OWASP ar gyfer 2013.

A1: Chwistrelliad (chwistrelliad SQL/DOM/LDAP)Ein safon codio yw defnyddio newidynnau rhwymo ac osgoi trawsgrifio gwerthoedd llythrennol yn natganiadau SQL. Cyfyngir swyddogaethau LDAP i ddilysiad.
A2: Dilysiad Toredig a Rheoli SesiynauMae cynnyrch Blackboard yn rhedeg dan TLS yn unig, felly mae'r holl gwcis wedi'i hamgryptio.
A3: Sgriptio ar draws Safleoedd (XSS)Caiff sgriptio ar draws safleoedd ei liniaru trwy ddefnyddio llyfrgelloedd a rennir megis ESAPI a safonau datblygu. Mae disgwyl bod unrhyw destun a gyflwynir gan ddefnyddwyr yn cael ei basio trwy ddulliau glanhau; ac mae disgwyl bod unrhyw fathau eraill o fewnbwn (dyddiadau, gwerthoedd dewisiadau/opsiynau) yn cael eu creu o wrthrychau a deipir mewn parthau, yn hytrach na chael eu trawsgrifio'n uniongyrchol o fewnbwn gan ddefnyddwyr.
A4: Cyfeirnodau Gwrthrychau Anuniongyrchol AnniogelCaiff yr holl wrthrychau rhaglenni eu cyfeirio trwy "dynodwyr" sydd fel arfer yn mapio i'r allwedd gynradd. Fodd bynnag, caiff yr holl wrthrychau eu mapio yn erbyn "cyd-destun" a dyma hefyd lle mae gwiriadau diogelwch yn cael eu cynnal." Er enghraifft, gallai cais gyfeirio at "id neges" sef postiad bwrdd trafod ar gyfer cwrs. Proses safonol Blackboard yw cynnal gwiriad awdurdodi ar gyfer y breintiau sy'n gysylltiedig â rôl defnyddiwr.
Mewn achosion lle nad yw'r safon hon yn cael ei roi ar waith yn y modd cywir, mae'r dasg union yn syml, gan fod yr holl endidau data a amddiffynnir yn y system yn mapio i gyd-destun diogelwch (cwrs neu barth).
A5: Camffurfweddiad DiogelwchMae Blackboard yn dilyn polisi diogel-yn-ddiofyn gyda Nodiadau Rhyddhau a Dogfennaeth yn cael eu paratoi pan fod angen ystyriaeth arbennig gan Weinyddwr y System. Mae Blackboard yn annog cwsmeriaid i ddilyn ei ganllaw ar arferion gorau o ran Ffurfweddiad Diogel pan fod un ar gael a'i bod yn berthnasol i'ch cynnyrch Blackboard priodol.

Archwilio Diogelwch
Caiff Digwyddiadau Diogelwch eu cofnodi mewn cofnodion penodol ar ddiogelwch.

Datgeliad Gwybodaeth a Thrin Camgymeriadau
Caiff prosesau safonol ar drin camgymeriadau (trwy dempled tudalen safonol a llyfrgell tagiau) eu rhoi ar waith gyda phob tudalen, gan arwain at allbwn safonol ar gyfer camgymeriadau, yn arbennig camgymeriadau nas adnabyddir. Gall yr allbwn safonol gynnwys olrhain y dulliau (mân ddatgeliad o wybodaeth), ond dim o'r data a oedd yn cael ei brosesu pan fethodd y cais ac mae'n weladwy i'r sawl gyda mynediad lefel gweinyddwr yn unig. Nid yw defnyddwyr difreintiedig (megis myfyrwyr) yn gallu gweld manylion manwl o'r dulliau a ddefnyddiwyd.

A6: Dinoethiad at Ddata SensitifYn safonol mae Blackboard yn defnyddio proses 'hash a halltu' mewn perthynas â chyfrineiriau defnyddwyr gyda SHA-160.

Mae cynnyrch Blackboard yn cefnogi rhedeg dan TLS; fodd bynnag, cyfrifoldeb y defnyddiwr yw ffurfweddu TLS yn gywir pan fyddant yn lletya eu cynnyrch eu hunain.

A7: Rheoli Mynediad Lefel at Swyddogaethau CollCaiff hyn ei reoli ar ddwy lefel -- sy'n golygu bod rhesymeg busnes yn gorfodi gwiriadau awdurdodi, a gan sicrhau bod achosion prawf Sicrhau Ansawdd yn ymdrin â gofynion awdurdodaeth ar gyfer gwahanol sgriniau.
A8: Ffugio Cais ar draws Safleoedd (CSRF)Mae ein fframwaith diogelwch yn dilyn argymhellion OWASP ar gyfer gwerthoedd untro fesul cais a semanteg POSTIAD-yn unig. Mae ceisiadau AJAX yn defnyddio gwerthoedd untro fesul sesiwn.
A9: Defnyddio Cydrannau gyda Gwendidau HysbysCaiff hyn ei liniaru trwy gynnal sganiau gwendidau rheolaidd o'n hisadeiledd a phecynnau meddalwedd trydydd parti i adnabod cydrannau gyda gwendidau hysbys ac i ddatblygu map ffordd i uwchraddio'r rhai gyda chlytiau ar gael.
A10: Ailgyfeiriadau a Danfoniadau Ymlaen heb eu DilysuMae Safon Codio Ddiogel Blackboard yn gofyn i ailgyfeiriadau a danfoniadau ymlaen ddilysu eu bod yn gyfeiriadau lleol. Caiff y gwendid hwn ei brofi'n rheolaidd.

Categorïau gwendid blaenorol yn Neg Prif Wendid OWASP

Gweithredu Ffeiliau MaleisusNi ddefnyddir ffeiliau a uwchlwythwyd gan ddefnyddwyr heb freintiau byth fel ffeiliau gweithredadwy. Fodd bynnag, gall defnyddwyr â breintiau (h.y., Gweinyddwyr System) uwchlwytho pecynnau gweithredadwy sef Blociau Adeiladu sy’n estyn swyddogaethau'r system. Cymerir bod Gweinyddwyr System yn deall y risgiau ac yn dilyn adolygiadau gwerthwyr ac ymarferion rheoli newid cadarn ynghylch gosod Blociau Adeiladu unrhyw drydydd parti.

Mae unrhyw ddatganiad am ddisgwyliadau at y dyfodol, cynlluniau a rhagolygon ar gyfer Blackboard yn cynrychioli safbwynt cyfredol y cwmni. Gall y canlyniadau go iawn amrywio i raddau oherwydd amryw ffactorau pwysig. Mae'r cwmni'n rhagweld y bydd digwyddiadau a datblygiadau dilynol yn achosi newidiadau yn safbwynt y cwmni. Fodd bynnag, er bod y cwmni'n gallu dewis diweddaru'r datganiadau hyn ar ryw adeg yn y dyfodol, mae'r cwmni'n gwadu unrhyw rwymedigaeth i wneud hynny'n benodol.


Polisi Datgelu ac Ymrwymo i Reoli Gwendidau

Rheolir rhaglen rheoli gwendidau Blackboard gan y Polisi Datgelu ac Ymrwymo i Reoli Gwendidau cyhoeddus hwn isod. Nid yw unrhyw werthwr meddalwedd yn berffaith - os adnabyddir gwendid diogelwch mewn cynnyrch a ryddhawyd, bydd Tîm Diogelwch Blackboard yn barod i ymateb iddo.

Am gymorth mewngofnodi, mae angen ichi gysylltu â desg gymorth TG eich sefydliad. Nid oes gan Blackboard unrhyw fynediad at wybodaeth cyfrif, gwefannau neu gynnwys eich sefydliad. Os nad ydych yn gwybod sut i gysylltu â'r ddesg gymorth, rhowch gynnig ar chwilio'r we am enw eich sefydliad + desg gymorth, neu edrychwch ar eich tudalen mewngofnodi am ddolen gymorth neu fanylion cyswllt.

Mae Blackboard wedi ymrwymo i ddatrys gwendidau diogelwch yn gyflym ac yn ofalus. Efallai bydd datrysiadau o'r fath yn arwain at ryddhau Cyngor Diogelwch a/neu unrhyw ddiweddariad cynnyrch sydd ei angen ar gyfer ein cwsmeriaid. Er mwyn gwarchod ein cwsmeriaid a’u data, rydym yn gofyn ichi roi gwybod inni am wendidau yn gyfrifol ac yn gyfrinachol fel y gallwn ymchwilio i'r gwendid ac ymateb iddo. Ni ddylid cyhoeddi gwendidau nes ein bod wedi datblygu a phrofi diweddariad cynnyrch yn gynhwysfawr ac wedi trefnu ei fod ar gael i gwsmeriaid trwyddedig.

Mae cynhyrchion Blackboard yn gymhleth. Maent yn rhedeg ar sawl ffurfweddiad caledwedd a meddalwedd, ac mae wedi’u cysylltu â nifer o raglenni trydydd partïon. Mae angen dadansoddiad manwl ar bob newidiad i feddalwedd—boed yn newidiad mawr neu fach—ac mae angen ei ddatblygu a’i gweithredu ar draws nifer o fathau a fersiynau o gynhyrchion. Mae rhaid i'r feddalwedd fynd trwy'r broses o leoleiddio, profion hygyrchedd, a phrofion sy’n berthnasol i’w chwmpas, cymhlethdod, a difrifoldeb. Gan fod ein cynhyrchion yn bwysig ofnadwy i’n cwsmeriaid, mae rhaid i Blackboard sicrhau eu bod yn rhedeg yn gywir, nid yn unig yn ein cyfleusterau profi, ond hefyd yn amgylcheddau ein cwsmeriaid. Felly, ni all Blackboard ddarparu diweddariadau cynnyrch yn unol ag amserlen benodol, ond rydym wedi ymrwymo i weithio’n brydlon.

Mae partïon maleisus yn canfod gwendidau meddalwedd gan beiriannu cyngor diogelwch a diweddariadau cynnyrch wedi’u cyhoeddi am yn ôl. Mae’n bwysig i’n cwsmeriaid ddiweddaru meddalwedd yn brydlon a defnyddio ein system graddio difrifoldeb fel canllaw i gynllunio diweddariadau’n well. Felly, mae trafod y gwendid yn gyhoeddus ond yn berthnasol ar ôl i gwsmeriaid gael cyfle i ddiweddaru'r cynnyrch.

Profi am wendidau diogelwch

Dylech gynnal pob prawf gwendid yn erbyn fersiwn nas ddefnyddir o’n cynhyrchion i leihau’r risg i ddata a gwasanaethau.


Sut i roi gwybod am wendid

Rhannwch fanylion y gwendid posibl yn gyfrinachol gan lenwi ffurflen cyflwyno gwendid.

Rhowch fanylion am y gwendid posibl fel bod y tîm diogelwch Blackboard yn gallu dilysu ac ail-greu'r broblem yn gyflym. Heb y wybodaeth uchod, gallai trwsio'r gwendid posibl fod yn anodd, os nad yw’n amhosibl. Nid ystyrir adroddiadau sy’n rhestru sawl gwendid heb fanylion heb ragor o eglurhad. Dylai'r manylion gynnwys:

  • Math o wendid;
  • Os yw’r wybodaeth wedi’i gyhoeddi neu’i rhannu â phartïon eraill;
  • Cynhyrchion a fersiynau yr effeithir arnynt;
  • Ffurfweddiadau yr effeithir arnynt; a
  • Chyfarwyddyd cam wrth gam neu god prawf cysyniad i ail-greu'r broblem.

Ymrwymiad diogelwch Blackboard

I bawb sy’n rhoi gwybod inni am wendidau, bydd Blackboard yn ceisio gwneud y canlynol:

  • Cydnabod derbyn eich adroddiad;
  • Ymchwilio mewn modd prydlon, gan gadarnhau lle mae’r gwendid posibl, os yw’n bosibl;
  • Rhoi cynllun ac amserlen i drwsio'r gwendid os yw’n berthnasol; a
  • Rhoi gwybod i’r person a roddwyd gwybod inni pan fydd y gwendid wedi’i drwsio.

Cydnabod cyfraniad

Nid oes gan Blackboard raglen wobrwyo ar gyfer gwendidau. O ganlyniad i hynny, ni fydd Blackboard yn rhoi cydnabyddiaeth nac iawndal am roi gwybod am wendidau diogelwch.