Test de la sécurité

Chez Blackboard, nous effectuons continuellement des tests de sécurité internes au niveau du code (analyse statique) et des applications (analyse dynamique) pour vérifier qu'ils répondent à nos attentes, ainsi qu'à celles de nos clients. De plus, pour garder constamment un regard neuf sur l'application, Blackboard récupère des tests de pénétration de sécurité de la part de fournisseurs tiers. Nous corrigeons rapidement chaque problème identifié.

Tests de sécurité statiques des applications

Blackboard utilise des outils d'analyse statique Open source et sous licence pour évaluer continuellement le code source de Blackboard Learn. Ces outils permettent à Blackboard d'identifier les vulnérabilités potentielles dans le code source lorsque le système évolue via l'intégration avec les environnements de création. Blackboard associe l'analyse automatique des failles de sécurité du code source à une révision manuelle du code.

Tests de sécurité dynamiques des applications

Blackboard utilise des outils d'analyse dynamique Open source et sous licence pour évaluer continuellement l'application Blackboard Learn. Les analyseurs de sécurité automatisés testent les vulnérabilités courantes des applications Web du point de vue d'un utilisateur final.

Tests d'intrusion manuels

Les outils de sécurité des applications statiques et dynamiques ne peuvent pas détecter tous les problèmes de sécurité. Pour réduire encore davantage les risques de sécurité, Blackboard effectue des tests d'intrusion pour identifier les failles de sécurité plus complexes et les problèmes de logique métier, tels que les autorisations incorrectes.

Mises à jour et avis de sécurité

Blackboard s'engage à identifier, communiquer et résoudre les failles de sécurité identifiées dans nos produits en temps opportun. Blackboard publie des avis et des correctifs de sécurité sur Behind the Blackboard.

Les avis de sécurité sont publiés avec les informations suivantes :

  • ID d'avis : à des fins de suivi de la base de connaissances
  • Titre : brève description du domaine concerné
  • Date d'émission
  • Gravité

Les avis sont suivis d'une vue d'ensemble des failles décrivant en détail la nature de la faille de sécurité, une vue d'ensemble des problèmes fonctionnels qui décrit la façon dont le système peut être affecté, une liste des versions de produit concernées, une description de la découverte et une description de la solution avec un lien vers les correctifs applicables. Blackboard assure également le suivi et avertit nos clients de toute exploitation connue ou utilisation malveillante des failles de sécurité. La section relative aux préventions et solutions de contournement décrit toutes les mesures de préventions que les clients peuvent mettre en place ou si une solution de contournement est disponible. Si plusieurs révisions sont apportées à un avis, un bref résumé de la mise à jour est fourni.

Notation des failles de sécurité

Blackboard utilise pour base la norme industrielle de CVSSv2 (Common Vulnerability Scoring System Version 2.0). Les clients peuvent utiliser nos notes de gravité pour vous aider à classifier l'impact des problèmes de sécurité rencontrés dans Blackboard Learn. Ces notes sont basées sur une utilisation moyenne, puisque toutes les failles n'ont pas le même impact sur tous les utilisateurs. Par exemple, il est possible que les clients n'aient pas activé le module concerné, ou que son utilisation ne s'accompagne pas d'informations aussi critiques que pour un autre client.

Filtre de validation de saisie

Ce filtre de validation de saisie fait office de première ligne de défense avec des règles configurables pour protéger Blackboard Learn. Dans un certain sens, il agit comme un pare-feu pour Blackboard Learn. Il vérifie que les demandes entrantes des utilisateurs sont sûres en assainissant les données par le biais d'un ensemble de règles par défaut.