Teste de segurança

A Blackboard executa testes contínuos de segurança interna no nível de código (análise estática) e no nível de aplicativo (análise dinâmica) para garantir que atenda às expectativas da Blackboard e de nossos clientes. Além disso, para monitorar com frequência o aplicativo, a Blackboard obtém testes de penetração de segurança de fornecedores de segurança. Quaisquer problemas identificados são rapidamente designados para reparo.

Teste de segurança estática do aplicativo

A Blackboard utiliza scanners de análise estática comerciais e de fonte aberta para avaliar o código-fonte do Blackboard Learn continuamente. Essas ferramentas permitem que a Blackboard identifique potenciais vulnerabilidades no código-fonte à medida que o sistema evolui por meio da integração com ambientes de compilação. A Blackboard associa a análise automatizada de código-fonte para vulnerabilidades de segurança com análises manuais de código.

Teste de segurança dinâmica do aplicativo

A Blackboard utiliza scanners de análise dinâmica comerciais e de fonte aberta para avaliar o código-fonte do Blackboard Learn continuamente. Os mecanismos automatizados de varredura de segurança testam vulnerabilidades comuns de aplicativos da web do ponto de vista do usuário final.

Teste manual de penetração

As ferramentas de segurança estática e dinâmica de aplicativos não detectam todos os problemas de segurança. Para reduzir ainda mais o risco, a Blackboard executa testes manuais de penetração para identificar vulnerabilidades de segurança mais complexas e problemas de lógica de negócios, como autorização imprópria.

Atualizações e informativos de segurança

A Blackboard está comprometida com a identificação, comunicação e resolução oportunas de vulnerabilidades de segurança identificadas em nossos produtos. A Blackboard publica patches e informativos de segurança através do Behind the Blackboard.

Os Informativos de segurança são divulgados com as seguintes informações:

  • Código do informativo – para fins de rastreamento da Base de conhecimento
  • Título – breve descrição da área afetada
  • Data de emissão
  • Gravidade

Os informativos são seguidos por uma visão geral da vulnerabilidade detalhando a natureza da vulnerabilidade de segurança, uma visão geral dos problemas funcionais que descreve como o sistema pode ser afetado, uma lista de versões afetadas do produto, descrição da descoberta e uma descrição da solução com um link para os patches aplicáveis. A Blackboard também monitora e orienta nossos clientes sobre qualquer exploração conhecida ou uso mal-intencionado de vulnerabilidades de segurança. A seção de atenuações e soluções alternativas descreve as atenuações que os clientes podem realizar ou se uma solução alternativa está disponível. Se houver várias revisões em um informativo, um breve resumo da atualização será fornecido.

Pontuação de vulnerabilidade de segurança

A Blackboard segue o padrão do setor utilizando o CVSSv2 (Common Vulnerability Scoring System Version 2.0) como diretriz. Os clientes podem usar nossas classificações de gravidade como uma diretriz para ajudar a classificar o impacto das questões de segurança encontrados no Blackboard Learn. Baseia-se no uso médio, pois nem todas as vulnerabilidades têm impacto igual em todos os usuários — por exemplo, os clientes podem não ter o módulo afetado ativado ou seu uso do módulo pode não conter informações críticas como outro cliente.


Filtro de validação de entrada

O Filtro de validação de entrada atua como uma primeira linha de defesa com regras configuráveis para proteger o Blackboard Learn. Funciona, de certa forma, como um firewall para o Blackboard Learn. Ele verifica se as solicitações do usuário que entram estão seguras, corrigindo os dados por meio de um conjunto de regras padrão.