安全性测试
Blackboard 在代码级别(静态分析)和应用程序级别(动态分析)执行持续内部安全性测试,以确保其符合 Blackboard 和客户的期望。此外,为了定期了解应用程序的最新情况,Blackboard 会从第三方安全供应商处获得安全性渗透测试。发现的任何问题都会得到快速修复。
静态应用程序安全测试
Blackboard 利用开放源代码和商业静态分析扫描程序来持续评估 Blackboard Learn 源代码。通过这些工具,Blackboard 可以在系统与构建环境集成而不断演进升级的过程中,发现源代码中的潜在漏洞。通过手动代码复查,Blackboard 会结合进行自动源代码分析,以查找安全漏洞。
动态应用程序安全测试
Blackboard 利用开放源代码和商业动态分析扫描程序来持续评估 Blackboard Learn 应用程序。自动安全扫描程序可从最终用户的视角来测试常见的 Web 应用程序漏洞。
手动渗透测试
静态和动态应用程序安全工具无法检测所有安全问题。为了进一步降低安全风险,Blackboard 会执行手动渗透测试,以识别更复杂的安全漏洞和业务逻辑问题(如不正确的授权)。
安全更新和提议
Blackboard 致力于及时发现、传达并解决我们产品中出现的安全漏洞。Blackboard 通过 Behind the Blackboard 发布安全补丁和公告。
发布的安全公告包含以下信息:
- 公告 ID - 用于知识库跟踪目的
- 标题 - 受影响区域的简短描述
- 发布日期
- 严重性
公告后面依次是:详细说明安全漏洞性质的漏洞概述、描述系统如何受到影响的功能问题概述、受影响的产品版本列表、发现描述以及解决方案描述(含指向适用补丁的链接)。Blackboard 还会跟踪并提醒我们的客户了解任何已知的攻击或恶意使用安全漏洞的情况。缓解方法和变通办法部分介绍客户可采取的任何缓解方法,或是否有变通方法可用。如果公告有多个修订版,则会提供有关更新的简短摘要。
安全漏洞评分
Blackboard 采用行业标准的 CVSSv2(Common Vulnerability Scoring System 版本 2.0)作为准则。客户可以使用我们的严重性评级作为准则,以帮助分类 Blackboard Learn 中发现的安全问题的影响。它基于平均使用情况,因为并非所有漏洞对所有用户都有同等影响,例如,客户可能未启用受影响的模块,或其对模块的使用可能不像其他客户那样包含重要信息。
输入验证筛选器
输入有效性筛选器作为保护 Blackboard Learn 的第一条防线,其具有可配置的规则。在某种意义上,它就像 Blackboard Learn 的防火墙。它通过默认规则集来净化数据,从而确保传入的用户请求是安全的。