Blackboard'un, güvenlik sorunlarını sadece önlemeye yönelik değil, aynı zamanda kökten çözmeye de yönelik güçlü bir güvenlik programı vardır. Blackboard, hem kendi hedeflerine ulaşmak hem de müşterinin beklentilerini karşılamak için şirket içinde sürekli olarak kod seviyesinde (statik analiz) ve uygulama seviyesinde (dinamik analiz) güvenlik testleri gerçekleştirir. Blackboard, ayrıca uygulamalarını düzenli olarak yenilemek için üçüncü taraf güvenlik sistemi tedarikçilerine, güvenliği delme testleri yaptırmaktadır. Belirlenen sorunlar, onarım için hızlı şekilde bildirilir.

Blackboard'un güvenlik programının, sürekli gelişen ve olgunlaşan bir süreç olduğu unutulmamalıdır. Blackboard ürünlerinin güvenlik özellikleri ve sağlamlığı konusunda çıtayı sürekli olarak yükseltmek için kesintisiz şekilde iyileştirmeler yaparak çalışırız.


Güvenliği dikkate alan tasarım

Blackboard, müşterilerine güvenli uygulamalar sağlama konusunda kararlıdır. Blackboard ürünleri, OWASP'ın (Açık Web Uygulaması Güvenlik Projesi) Başlıca 10 güvenlik açığı için alınan belirli tedbirleri de içerecek şekilde, OWASP gibi birçok kuruluştan edinilen bir dizi güvenlik mühendisliği kuralı esas alınarak geliştirilmiştir. Blackboard bu güvenlik uygulamalarını yazılım geliştirme yaşam döngüsünün (SDLC) her bir aşamasına dahil etmektedir.

Blackboard, uygulamalarımızı korumak üzere; Tehdit Modellemesi ve analizler aracılığıyla "yukarıdan aşağıya" güvenlik değerlendirmelerini; ayrıca statik analiz, dinamik analiz ve manuel sızma testleri aracılığıyla "aşağıdan yukarı" kod seviyesi tehdit algılamasını da içeren birçok yöntem kullanmaktadır.

Blackboard, ürün ve programlarının güvenliğini güçlendirmeye yardımcı olması için pek çok kuruma ait en iyi uygulama ipuçlarından yararlanmaktadır. Söz konusu kuruluşlardan bazıları şunlardır:

  • Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
  • Avrupa Ağ ve Bilgi Güvenliği Ajansı (ENISA)
  • SANS Institute
  • Açık Web Uygulaması Güvenlik Projesi (OWASP)
  • Bulut Güvenliği Birliği (CSA)

Tehdit modellemesi

Yeni özellikler geliştirildikçe Güvenlik Ekibi de Tehdit Modellemesi yaparak riskleri azaltmak için ihtiyaçları ve sistem tasarımını değerlendirir. Tehdit Modellemesi, uygun güvenlik tedbirlerinin belirlenip uygulanabilmesi için gözden geçirilen özellikle ilgili güvenlik tehditlerinin belirlendiği, planlı bir süreçtir.


Güvenli kodlama ve OWASP'ın en önemli 10 güvenlik açığı

Blackboard ürünleri, 2013 için OWASP'ın Başlıca 10 Güvenlik Açığı'na ilişkin belirli karşı tedbirleri de içeren, OWASP'tan edinilen bir dizi geliştirme kuralına göre geliştirilir.

A1: Enjeksiyon (SQL/DOM/LDAP enjeksiyon) SaldırısıKodlama standardımızda bağlı değişkenler kullanılır ve kalıpların SQL deyimlerine kopyalanması önlenir. LDAP işlevselliği, sadece kimlik doğrulama işlemiyle sınırlı hale getirilir.
A2: Bozuk Kimlik Doğrulama ve Oturum YönetimiBlackboard ürünleri sadece TLS altında çalıştığından tüm tanımlama bilgileri şifrelenir.
A3: Siteler Arası Komut Çalıştırma (XSS)Siteler arası komut çalıştırma, ESAPI gibi paylaşılan kitaplıklar ve geliştirme standartları kullanılarak azaltılır. Son kullanıcı tarafından gönderilen tüm girdilerin temizleyici metotlardan geçmesi, diğer tür girdilerin (tarihler, seçme/seçenek değerleri) doğrudan kullanıcı girdisinden kopyalanmak yerine, yazılmış etki alanı nesnelerinden oluşturulmuş olması beklenir.
A4: Güvensiz Doğrudan Nesne ReferanslarıTüm uygulama nesnelerine atıfta bulunurken genellikle birincil anahtarla eşleşen “kimlikler” kullanılır. Ancak tüm nesnelerin eşleştirilmesi ve tüm güvenlik kontrollerinin yapılması, bir “bağlama” göre gerçekleştirilir. Örneğin, bir istek, bir kursun tartışma panosu gönderisi olan bir “ileti kimliğine” atıfta bulunabilir. Blackboard standardı, bir kullanıcı rolüne atanan ayrıcalık için yetkilendirme kontrolü yapmaktır.
Bu standardın doğru şekilde uygulanamadığı durumlarda iyileştirme işlemi basittir, çünkü sistemdeki tüm korunan veri öğeleri bir güvenlik bağlamıyla (kurs veya etki alanı) eşleşmektedir.
A5: Yanlış Güvenlik YapılandırmasıBlackboard; Sistem Yöneticisi'nin özel olarak dikkat etmesi gereken, Sürüm Notları ve Belgelerden yararlanılan, "varsayılan olarak güvenli" bir politika izler. Blackboard Güvenli Yapılandırması ile ilgili en iyi uygulamaları içeren bir kılavuz varsa; Blackboard, müşterileri bu kılavuza ve Blackboard ürününüzle ilgili kılavuza uymaya teşvik eder.

Güvenlik Denetimi
Güvenlik Olayları, güvenliğe özgü günlüklere kaydedilir.

Bilgi Sızıntısı ve Hata İşleme
Standart hata işleme faaliyetleri, tüm sayfalarda uygulanır (standart bir sayfa şablonu ve etiket kitaplığı kullanılarak) ve sonunda tüm hatalara, özellikle de bilinmeyen hatalara yönelik standart bir çıktı oluşturulur. Standart çıktıda, yığın izleme verileri (az seviyede bilgi sızıntısı) bulunabilir ancak istek başarısız olduğunda, işlenen verilerin hiçbiri bulunmaz ve sadece yönetici seviyesinde erişime sahip olanlar tarafından görülebilir. Ayrıcalıksız kullanıcılar (öğrenciler gibi), ayrıntılı yığın izleme verilerini göremez.

A6: Hassas Verilerin İfşasıBlackboard, standart olarak kullanıcı parolalarını SHA-160 ile karma yapmakta ve şifreli hale getirmektedir.

Blackboard ürünleri, TLS altında çalışmayı desteklemekle birlikte bir dağıtıcının ürünü kendi sunucusunda barındırılıyorsa üründe TLS'yi gerektiği gibi yapılandırma sorumluluğu dağıtıcınındır.

A7: İşlev Seviyesinde Eksik Erişim KontrolüBu, iki seviyede yönetilir; iş mantığının yetkilendirme kontrolleri uygulatmasını zorunlu hale getirme ve kalite kontrol testi yapılması gereken durumlarda farklı ekranlar için yetkilendirme gereksinimlerinin dahil edilmesini sağlama.
A8: Siteler Arası İstek Sahteciliği (CSRF)Güvenlik sistemimiz, istek başına bir kerelik değerler ve "sadece POST" metoduyla ilgili OWASP önerilerini izler. AJAX istekleri, oturum başına tek seferlik değerler kullanır.
A9: Bilinen Güvenlik Açıkları Olan Bileşenleri KullanmaBu durum, bilinen güvenlik açıklarına sahip bileşenleri belirlemek ve onları mevcut düzeltme ekleriyle güncelleştirmek üzere bir yol haritası geliştirmek için hem altyapımızda hem de üçüncü taraf yazılım paketlerinde düzenli güvenlik açığı taramaları yapılarak azaltılır.
A10: Doğrulanmamış Yönlendirmeler ve İletmelerBlackboard Güvenli Kodlama Standardı, yerel adres olduklarını doğrulamak için yönlendirme ve iletmeyi gerektirir. Bu güvenlik açığı düzenli olarak test edilmektedir.

OWASP'ın Başlıca 10 Güvenlik Açığı'ndaki önceki güvenlik açığı kategorileri

Kötü Amaçlı Dosyaları YürütmeAyrıcalıklı olmayan son kullanıcılar tarafından yüklenen dosyalar hiçbir zaman yürütülebilir öğe olarak kullanılmaz. Bununla birlikte, ayrıcalıklı kullanıcılar (örneğin, Sistem Yöneticileri), Building Blocks adı verilen ve sistemin işlevselliğini artıran yürütülebilir paketler yükleyebilir. Sistem Yöneticilerinin riskleri anladıkları, güvenilir satıcı talimatlarını takip ettikleri ve herhangi bir üçüncü taraf Building Blocks kurulumunda yönetim uygulamalarını değiştirdikleri varsayılır.

Blackboard'un gelecekteki tahminleriyle, planlarıyla ve beklentileriyle ilgili ifadeler, Şirket'in şu anki görüşleridir. Çeşitli önemli unsurların etkisiyle, gerçek sonuçlar, öngörülenlerden büyük oranda farklılık gösterebilir. Şirket'in öngörüsü, gelecekteki olayların ve gelişmelerin Şirket'in görüşlerini değiştireceği yönündedir. Bununla birlikte Blackboard, bu fikirlerini gelecekte belirli bir noktada değiştirme seçeneği olsa da bunu mutlaka yapacağı konusunda herhangi bir yükümlülüğü kesinlikle kabul etmemektedir.


Güvenlik Açığı Yönetim Taahhüdü ve Bilgilendirme Politikası

Blackboard'un güvenlik açığı yönetimi programı, aşağıdaki halka açık Güvenlik Açığı Yönetim Taahhüdü ve Bilgilendirme Politikası'na tâbidir. Hiçbir yazılım satıcısı mükemmel değildir; piyasaya sürülen bir üründe güvenlik açığı tespit edilirse Blackboard Güvenlik Ekibi yanıt vermeye hazırdır.

Oturum açmayla ilgili yardım için kurumunuzun BT yardım masasına başvurmanız gerekir. Blackboard; kurumunuzun hesap bilgilerine, web sitelerine veya içeriğine erişemez. Yardım masasıyla nasıl iletişime geçeceğinizi bilmiyorsanız internette kurumunuzun adı ile yardım masasını birlikte aratmayı deneyin veya oturum açma sayfanızda bir destek bağlantısı veya iletişim bilgileri olup olmadığını kontrol edin.

Blackboard, güvenlik açıklarını hızlı ve dikkatli bir şekilde çözmeyi taahhüt eder. Bu tür çözümlerde, bir güvenlik danışmanı ve/veya müşterilerimiz için gerekli bir ürün güncelleştirmesi yayınlanabilir. Müşterilerimizi ve verilerini korumak amacıyla gerekli araştırmaları yaparak bir çözüm bulabilmemiz için güvenlik açıklarının bize sorumluluk duygusuyla ve gizli bir şekilde bildirilmesini isteriz. Güvenlik açıkları, bir ürün güncelleştirmesi geliştirilip kapsamlı bir şekilde test edilerek lisanslı müşterilere sunulana kadar duyurulmamalıdır.

Blackboard’un ürünleri karmaşık bir yapıya sahiptir. Çeşitli donanım ve yazılım yapılandırmaları ile çalışır ve birçok üçüncü taraf uygulamaya bağlanır. Büyük veya küçük tüm yazılım değişikliklerinin ayrıntılı şekilde analiz edilmesi, bunun yanında birden fazla ürün grubunda ve sürümünde geliştirilmesi ve uygulanması gerekir. Yazılım ayrıca kapsamına, karmaşık düzeyine ve önem derecesine göre; yerelleştirme, erişilebilirlik ve test aşamalarından geçmelidir. Ürünlerimizin müşterilerimiz açısından kritik öneme sahip olduğundan, Blackboard bunların yalnızca test tesislerimizde değil, müşteri ortamlarında da doğru şekilde çalıştığından emin olmak zorundadır. Bu nedenle Blackboard ürün güncelleştirmelerini belirli bir zamanlamaya göre sağlayamaz ancak olabildiğince hızlı bir şekilde çalışmaya gayret eder.

Kötü niyetli taraflar çoğunlukla yayımlanan güvenlik önerileri ve ürün güncelleştirmeleri üzerinde ters mühendislik yaparak yazılım açıklarından faydalanır. Müşterilerin vakit kaybetmeden yazılımı güncelleştirmesi ve yükseltmelerin daha iyi planlanmasına yardımcı olacak önem derecesi sistemimizi kullanması çok önemlidir. Bu nedenle, güvenlik açığıyla ilgili açık tartışmalar ancak müşteriler ürün güncelleştirmelerini alma fırsatına sahip olduktan sonra yapılmalıdır.

Güvenlik açığı testleri

Veri ve hizmetler açısından riskleri en aza indirmek için ürünlerimizin üretim dışı örneklerinde tüm güvenlik açığı testlerini yapmanız gerekir.


Güvenlik açıkları nasıl bildirilir?

Bir güvenlik açığı gönderim formu doldurarak olası bir güvenlik açığıyla ilgili ayrıntıları gizli şekilde bizimle paylaşın.

Blackboard güvenlik ekibinin sorunu hızla doğrulayarak yeniden oluşturabilmesi için olası güvenlik açığıyla ilgili ayrıntıları girin. Yukarıdaki bilgiler olmadan olası açığın giderilmesi imkansız değilse de zor olabilir. Çeşitli olası güvenlik açıklarının ayrıntı verilmeden bildirilmesi halinde bunlar işleme alınmayacaktır. Ayrıntılarda şu bilgiler sağlanmalıdır:

  • Güvenlik açığının türü;
  • Bilgilerin başkalarıyla paylaşılıp paylaşılmadığı ya da yayımlanıp yayımlanmadığı;
  • Etkilenen ürünler ve sürümler;
  • Etkilenen yapılandırmalar ve
  • Sorunu yeniden oluşturmak için kullanılacak adım adım talimatlar ile kavram kanıtı kodu.

Blackboard güvenlik taahhüdü

Blackboard bu politikayı izleyerek güvenlik açıklarını bildiren herkes için aşağıdakileri yapmaya çalışacaktır:

  • Raporun alındığına dair onay gönderme;
  • Mümkünse olası güvenlik açığını teyit ederek zamanında araştırma yapma;
  • Uygunsa güvenlik açığını gidermek için bir plan sunma, süre belirtme ve
  • Güvenlik açığı giderildiğinde güvenlik açığını bildiren kişiye bildirimde bulunma.

Katkıyı ödüllendirme

Blackboard'un güvenlik açıkları konusunda bir ödül programı yoktur. Sonuç olarak, Blackboard güvenlik açıklarının bildirilmesi karşılığında ödül veya tazminat sağlamaz.