Testen van beveiliging

Blackboard voert doorlopend interne beveiligingstests uit op codeniveau (statische analyse) en toepassingsniveau (dynamische analyse) om er zeker van te zijn dat alles voldoet aan de verwachtingen van zowel Blackboard als onze klanten. Om tunnelvisie te voorkomen, laten we regelmatig penetratietests uitvoeren door externe bedrijven die hierin zijn gespecialiseerd. Eventuele verbeterpunten worden direct geregistreerd voor aanpassing.

Statische toepassing van testen van beveiliging

Blackboard maakt gebruik van open source en commerciële statische scanners van analyses om Blackboard Learn-broncode continu te beoordelen. Met deze tools kan Blackboard mogelijke problemen in de broncode identificeren als het systeem zich ontwikkelt door integratie met Build-omgevingen. Blackboard koppelt geautomatiseerde analyse van broncode voor beveiligingsproblemen met handmatige herzieningen van code.

Dynamische toepassing van testen van beveiliging

Blackboard maakt gebruik van open source en commerciële dynamische scanners van analyses om de Blackboard Learn-applicatie continu te beoordelen. De test voor geautomatiseerde beveiligingsscanners voor veelvoorkomende problemen van webtoepassingen vanuit het perspectief van een eindgebruiker.

Handmatige penetratietests

De functies voor statische en dynamische toepassingsbeveiliging kunnen geen beveiligingsproblemen detecteren. Om het beveiligingsrisico verder te beperken, voert Blackboard handmatige penetratietests uit om meer complexe beveiligingsproblemen en problemen met bedrijfslogica zoals onjuiste autorisatie te identificeren.

Beveiligingsupdates en -bulletins

Blackboard stelt alles in het werk om beveiligingsproblemen die zijn gevonden in onze producten tijdig te identificeren, communiceren en oplossen. Blackboard publiceert beveiligingspatches en -bulletins via Behind the Blackboard.

Beveiligingsbulletins worden aangeduid met de volgende informatie:

  • ID - voor traceringsdoeleinden in de Knowledge Base
  • Titel - Korte beschrijving van betreffende probleem
  • Datum van uitgifte
  • Ernst

Bulletins worden gevolgd door een probleemsamenvatting waarin de aard van het beveiligingsprobleem wordt beschreven. De samenvatting bevat daarnaast een overzicht van het functionele probleem met een beschrijving van de mogelijke gevolgen voor het systeem, een lijst van betrokken productversies, een beschrijving van de detectiemogelijkheden en een beschrijving van de oplossing met een koppeling naar relevante patches. Blackboard traceert ook alle bekende aanvallen of kwaadwillend gebruik van beveiligingsproblemen en informeert klanten hierover. De oplossingen en tijdelijke oplossingen beschrijven de stappen die klanten kunnen ondernemen of welke tijdelijke oplossing er voorhanden is. Als er verschillende revisies zijn van een bulletin, wordt er een korte samenvatting van de update verstrekt.

Rating van beveiligingsproblemen

Blackboard hanteert de industriestandaard CVSSv2 (Common Vulnerability Scoring System Version 2.0) als richtlijn. Klanten kunnen onze beveiligingsratings als richtlijn gebruiken bij het classificeren van de impact van beveiligingsproblemen die zijn gevonden in Blackboard Learn. De ratings worden gebaseerd op het gemiddelde gebruik, aangezien niet alle problemen dezelfde impact hebben op alle gebruikers. Het is bijvoorbeeld mogelijk dat klanten een module met een gemeld probleem niet hebben ingeschakeld of dat bij het gebruik van de module geen essentiële gegevens worden gebruikt zoals bij een andere klant.

Invoervalidatiefilter

Het invoervalidatiefilter fungeert als een eerste verdedigingslinie en omvat configureerbare regels voor het beschermen van Blackboard Learn. Het filter is als het ware een firewall voor Blackboard Learn. Het controleert of binnenkomende gebruikersaanvragen veilig zijn door de gegevens langs een standaardset met regels te laten lopen.