Blackboard'un, güvenlik sorunlarını sadece önlemeye yönelik değil, aynı zamanda kökten çözmeye de yönelik güçlü bir güvenlik programı vardır. Blackboard, hem kendi hedeflerine ulaşmak hem de müşterinin beklentilerini karşılamak için şirket içinde sürekli olarak kod seviyesinde (statik analiz) ve uygulama seviyesinde (dinamik analiz) güvenlik testleri gerçekleştirir. Blackboard, ayrıca uygulamalarını düzenli olarak yenilemek için üçüncü taraf güvenlik sistemi tedarikçilerine, güvenliği delme testleri yaptırmaktadır. Belirlenen sorunlar, onarım için hızlı şekilde bildirilir.

Blackboard'un güvenlik programının, sürekli gelişen ve olgunlaşan bir süreç olduğu unutulmamalıdır. Blackboard ürünlerinin güvenlik özellikleri ve sağlamlığı konusunda çıtayı sürekli olarak yükseltmek için kesintisiz şekilde iyileştirmeler yaparak çalışırız.


Güvenliği dikkate alan tasarım

Blackboard, müşterilerine güvenli uygulamalar sağlama konusunda kararlıdır. Blackboard ürünleri, OWASP'ın (Açık Web Uygulaması Güvenlik Projesi) Başlıca 10 güvenlik açığı için alınan belirli tedbirleri de içerecek şekilde, OWASP gibi birçok kuruluştan edinilen bir dizi güvenlik mühendisliği kuralı esas alınarak geliştirilmiştir. Blackboard bu güvenlik uygulamalarını yazılım geliştirme yaşam döngüsünün (SDLC) her bir aşamasına dahil etmektedir.

Blackboard, uygulamalarımızı korumak üzere; Tehdit Modellemesi ve analizler aracılığıyla "yukarıdan aşağıya" güvenlik değerlendirmelerini; ayrıca statik analiz, dinamik analiz ve manuel sızma testleri aracılığıyla "aşağıdan yukarı" kod seviyesi tehdit algılamasını da içeren birçok yöntem kullanmaktadır.

Blackboard, ürün ve programlarının güvenliğini güçlendirmeye yardımcı olması için pek çok kuruma ait en iyi uygulama ipuçlarından yararlanmaktadır. Söz konusu kuruluşlardan bazıları şunlardır:

  • Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
  • Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA)
  • SANS Institute
  • Açık Web Uygulaması Güvenlik Projesi (OWASP)
  • Bulut Güvenliği Birliği (CSA)

Tehdit modellemesi

Yeni özellikler geliştirildikçe Güvenlik Ekibi de Tehdit Modellemesi yaparak riskleri azaltmak için ihtiyaçları ve sistem tasarımını değerlendirir. Tehdit Modellemesi, uygun güvenlik tedbirlerinin belirlenip uygulanabilmesi için gözden geçirilen özellikle ilgili güvenlik tehditlerinin belirlendiği, planlı bir süreçtir.


Güvenli kodlama ve OWASP'ın en önemli 10 güvenlik açığı

Blackboard ürünleri, 2013 için OWASP'ın Başlıca 10 Güvenlik Açığı'na ilişkin belirli karşı tedbirleri de içeren, OWASP'tan edinilen bir dizi geliştirme kuralına göre geliştirilir.

A1: Enjeksiyon (SQL/DOM/LDAP enjeksiyon) SaldırısıKodlama standardımızda bağlı değişkenler kullanılır ve kalıpların SQL deyimlerine kopyalanması önlenir. LDAP işlevselliği, sadece kimlik doğrulama işlemiyle sınırlı hale getirilir.
A2: Bozuk Kimlik Doğrulama ve Oturum YönetimiBlackboard ürünleri sadece TLS altında çalıştığından tüm tanımlama bilgileri şifrelenir.
A3: Siteler Arası Komut Çalıştırma (XSS)Siteler arası komut çalıştırma, ESAPI gibi paylaşılan kitaplıklar ve geliştirme standartları kullanılarak azaltılır. Son kullanıcı tarafından gönderilen tüm girdilerin temizleyici metotlardan geçmesi, diğer tür girdilerin (tarihler, seçme/seçenek değerleri) doğrudan kullanıcı girdisinden kopyalanmak yerine, yazılmış etki alanı nesnelerinden oluşturulmuş olması beklenir.
A4: Güvensiz Doğrudan Nesne ReferanslarıTüm uygulama nesnelerine atıfta bulunurken genellikle birincil anahtarla eşleşen “kimlikler” kullanılır. Ancak tüm nesnelerin eşleştirilmesi ve tüm güvenlik kontrollerinin yapılması, bir “bağlama” göre gerçekleştirilir. Örneğin, bir istek, bir kursun tartışma panosu gönderisi olan bir “ileti kimliğine” atıfta bulunabilir. Blackboard standardı, bir kullanıcı rolüne atanan ayrıcalık için yetkilendirme kontrolü yapmaktır.
Bu standardın doğru şekilde uygulanamadığı durumlarda iyileştirme işlemi basittir, çünkü sistemdeki tüm korunan veri öğeleri bir güvenlik bağlamıyla (kurs veya etki alanı) eşleşmektedir.
A5: Yanlış Güvenlik YapılandırmasıBlackboard; Sistem Yöneticisi'nin özel olarak dikkat etmesi gereken, Sürüm Notları ve Belgelerden yararlanılan, "varsayılan olarak güvenli" bir politika izler. Blackboard Güvenli Yapılandırması ile ilgili en iyi uygulamaları içeren bir kılavuz varsa; Blackboard, müşterileri bu kılavuza ve Blackboard ürününüzle ilgili kılavuza uymaya teşvik eder.

Güvenlik Denetimi
Güvenlik Olayları, güvenliğe özgü günlüklere kaydedilir.

Bilgi Sızıntısı ve Hata İşleme
Standart hata işleme faaliyetleri, tüm sayfalarda uygulanır (standart bir sayfa şablonu ve etiket kitaplığı kullanılarak) ve sonunda tüm hatalara, özellikle de bilinmeyen hatalara yönelik standart bir çıktı oluşturulur. Standart çıktıda, yığın izleme verileri (az seviyede bilgi sızıntısı) bulunabilir ancak istek başarısız olduğunda, işlenen verilerin hiçbiri bulunmaz ve sadece yönetici seviyesinde erişime sahip olanlar tarafından görülebilir. Ayrıcalıksız kullanıcılar (öğrenciler gibi), ayrıntılı yığın izleme verilerini göremez.

A6: Hassas Verilerin İfşasıBlackboard, standart olarak kullanıcı parolalarını SHA-160 ile karma yapmakta ve şifreli hale getirmektedir.

Blackboard ürünleri, TLS altında çalışmayı desteklemekle birlikte bir dağıtıcının ürünü kendi sunucusunda barındırılıyorsa üründe TLS'yi gerektiği gibi yapılandırma sorumluluğu dağıtıcınındır.

A7: İşlev Seviyesinde Eksik Erişim KontrolüBu, iki seviyede yönetilir; iş mantığının yetkilendirme kontrolleri uygulatmasını zorunlu hale getirme ve kalite kontrol testi yapılması gereken durumlarda farklı ekranlar için yetkilendirme gereksinimlerinin dahil edilmesini sağlama.
A8: Siteler Arası İstek Sahteciliği (CSRF)Güvenlik sistemimiz, istek başına bir kerelik değerler ve "sadece POST" metoduyla ilgili OWASP önerilerini izler. AJAX istekleri, oturum başına tek seferlik değerler kullanır.
A9: Bilinen Güvenlik Açıkları Olan Bileşenleri KullanmaBu durum, bilinen güvenlik açıklarına sahip bileşenleri belirlemek ve onları mevcut düzeltme ekleriyle güncelleştirmek üzere bir yol haritası geliştirmek için hem altyapımızda hem de üçüncü taraf yazılım paketlerinde düzenli güvenlik açığı taramaları yapılarak azaltılır.
A10: Doğrulanmamış Yönlendirmeler ve İletmelerBlackboard Güvenli Kodlama Standardı, yerel adres olduklarını doğrulamak için yönlendirme ve iletmeyi gerektirir. Bu güvenlik açığı düzenli olarak test edilmektedir.

Blackboard'un gelecekteki beklentileriyle, planlarıyla ve beklentileriyle ilgili ifadeler, Şirket'in şu anki görüşleridir. Çeşitli önemli unsurların etkisiyle, gerçek sonuçlar, öngörülenlerden büyük oranda farklılık gösterebilir. Şirket'in öngörüsü, gelecekteki olayların ve gelişmelerin Şirket'in görüşlerini değiştireceği yönündedir. Bununla birlikte Blackboard, bu fikirlerini gelecekte belirli bir noktada değiştirme seçeneği olsa da bunu mutlaka yapacağı konusunda herhangi bir yükümlülüğü kesinlikle kabul etmemektedir.