Prueba de seguridad
Blackboard realiza pruebas continuas a la seguridad interna a nivel del código (análisis estático) y de la aplicación (análisis dinámico) para garantizar la satisfacción de las expectativas de Blackboard y de nuestros clientes. Además, para tener otro punto de vista de la aplicación, Blackboard utiliza regularmente los servicios de pruebas de penetración de la seguridad de proveedores externos. Se toma nota de cualquier problema identificado para proceder a su reparación.
Pruebas de seguridad en aplicaciones estáticas
Blackboard aprovecha los escáneres de análisis estáticos comerciales y de código abierto para evaluar el código fuente de Blackboard Learn de manera permanente. Estas herramientas permiten que Blackboard identifique posibles puntos vulnerables en el código fuente a medida que el sistema evoluciona a través de la integración con entornos de compilación. Blackboard complementa el análisis automatizado del código fuente para identificar puntos vulnerables en la seguridad con las revisiones manuales del código.
Pruebas de seguridad en aplicaciones dinámicas
Blackboard aprovecha los escáneres de análisis dinámicos comerciales y de código abierto para evaluar la aplicación Blackboard Learn de manera permanente. Los escáneres de seguridad automatizados buscan puntos vulnerables comunes en las aplicaciones web desde el punto de vista de un usuario final.
Pruebas manuales de penetración
Las herramientas de seguridad de aplicaciones estáticas y dinámicas no pueden detectar todos los problemas en materia de seguridad. Para mitigar aún más los riesgos de seguridad, Blackboard realiza pruebas de penetración manuales a fin de identificar los puntos vulnerables más complejos en la seguridad y los problemas de lógica comercial, como la falta de autorización adecuada.
Advertencias y actualizaciones de seguridad
Blackboard se compromete a identificar, comunicar y resolver oportunamente las vulnerabilidades de seguridad detectadas en nuestros productos. Blackboard publica advertencias y parches de seguridad a través de Behind the Blackboard.
Las advertencias de seguridad que se publican contienen la siguiente información:
- ID de la advertencia: para un seguimiento de la base de conocimientos
- Título: breve descripción del área afectada
- Fecha de emisión
- Gravedad
Las advertencias van acompañadas de una descripción general de la vulnerabilidad de la seguridad que detalla su naturaleza, una descripción general de los problemas funcionales que describe en qué aspectos puede verse afectado el sistema, una lista de las versiones del producto afectadas, una descripción del hallazgo y una descripción de la solución con un enlace a los parches correspondientes. Blackboard también rastrea cualquier uso malintencionado o aprovechamiento conocido de las vulnerabilidades de seguridad y advierte a sus clientes sobre esto. En la sección de mitigaciones y soluciones, se describen todas las medidas de mitigación que los clientes puedan tomar o si hay una solución alternativa disponible. Si hay varias revisiones de una misma advertencia, se proporciona un breve resumen de la actualización.
Puntuación de las vulnerabilidades de seguridad
Blackboard se rige por el estándar del sector CVSSv2 (Sistema común de puntuación de vulnerabilidades, versión 2.0). Los clientes pueden utilizar nuestras clasificaciones de gravedad como pautas para clasificar el impacto de los problemas de seguridad que se encuentran en Blackboard Learn. Se basa en el uso promedio, ya que no todas las vulnerabilidades tienen el mismo impacto en todos los usuarios; por ejemplo, es posible que los clientes no tengan habilitado el módulo afectado o que su uso del módulo no contenga información tan importante como la de cliente.
Filtro de validación de entrada
El filtro de validación de entrada actúa como una primera línea de defensa con reglas que se pueden configurar para proteger Blackboard Learn. En cierta forma, es como un firewall para Blackboard Learn. Se encarga de depurar los datos a través de un conjunto de reglas predeterminadas para verificar que las solicitudes de los usuarios que ingresan sean seguras.