Kod Riskleri ile Görüşmeler – WordPress eklentileri için Ücretsiz Kaynak Kod Analiz Hizmetleri
WordPress eklentisindeki güvenlik açığı, WordPress’in çekirdeğindeki güvenlik açığından daha fazla site hacklemesine neden oldu. Bunun olmasının bir nedeni kaynak eksikliğidir. WordPress Core kodu binlerce kişi tarafından kontrol edilmesine rağmen, yazılım her zaman bir güvenlik açığı olacaktır. Buna ek olarak, temel, kodun mümkün olduğunca güvenli olmasını sağlamak için tahsis edilen kaynaklara sahiptir. Öte yandan, birçok eklenti geliştiricisi, özellikle küçük bir eklenti ise, eklenti kodlarının güvenli olmasını sağlamak için mevcut kaynaklara sahip değildir. Her şey değişecek olsa da, Hendrik Buchwald’ın bu röportajda açıkladığı gibi. Hendrik bir yazılım mühendisi, güvenlik araştırmacısı ve Rips Technologies’in kurucularından biridir.
Rips teknolojisi ne yapar? RIPS Technologies, Bochum, Almanya merkezli yüksek bir Tech şirketidir. PHP uygulamaları için yerel yazılım kurulumları veya çok ölçeklenebilir bulut hizmetleri olarak otomatik güvenlik analizi sağlıyoruz. Özellikle PHP’ye adanmış yenilikçi kod analiz algoritmamız, diğer çözümlerin aksine modern uygulamalardaki karmaşık güvenlik açıklarını belirleyebilir. Misyonumuz güvenlik geliştiricilerine ve profesyonellerine en doğru ve verimli güvenlik analizini sağlamaktır. Geliştirici tarafından yapılan en yaygın güvenlik hatası nedir ve WordPress eklentisinde gördüğünüz ilk 3 güvenlik açığı nedir?
Şaşırtıcı olmayan bir şekilde, en yaygın sorun, kullanıcı girişi HTML yanıt sayfasına doğru sanitasyon olmadan her yazdırıldığında gerçekleşen çapraz yer komut dosyalarının (XSS) güvenlik açığıdır. Birincisi, bu sorun genellikle veri çıktısı PHP uygulamalarının en yaygın çalışması olduğu ve bu nedenle güvenlik ihlallerinden diğer operasyonlardan daha fazla etkilenmesi nedeniyle ortaya çıkar. İkincisi, HTML bağlamlarının çeşitliliği ve sanitasyondaki tuzakları göz önüne alındığında, bu sorun kolayca tanıtılabilir. Siteler arası komut dosyası (XSS) güvenlik açığı WordPress’te oldukça ciddidir, çünkü örneğin şablonun editörü aracılığıyla PHP kodunu enjekte etmek için kullanılabilir. Neyse ki, yöneticilerle etkileşime ihtiyaçları var. En yaygın ikinci sorun SQL enjeksiyon güvenlik açığıdır. SQL enjeksiyonları, çapraz yerinde komut dosyalarının güvenlik açığından daha kötüdür, çünkü en kötü durumda, kullanıcı etkileşimi olmadan veritabanlarından – örneğin şifrelerden – hassas bilgileri çıkarmak için kullanılabilirler. Sonuç olarak, tamamen otomatik tehlikeli saldırılar için kullanılabilirler. En popüler/indirilen eklentilerin genel güvenlik duruşu ne kadar iyi mi? Bunu cevaplamak zor çünkü en popüler 1.000 eklentiyi ayrıntılı olarak görmedim. Bu tür işlemlerin tamamlanması aylar alacak ve hazır olduğumuzda, bazı eklentiler çok sık güncellendiğinden tekrar başlamamız gerekiyor.
Bu nedenle, kod riski gibi otomatik güvenlik hizmetlerinin kullanılması neden önemlidir. Her ne kadar depoda yaptığımız otomatik ve doğrulanmamış kaynak kodunun taranmasından kaynaklanan Coderisk skorundan da, zayıf puanlara sahip eklentiler olmasına rağmen çoğu kodun kötü olmadığını söyleyebilirim. Bu eklentilerin çoğu çok büyük ve birçok işlevi var. Bu, otomatik olarak bir yerde hataya sahip olma olasılığını artırır. Manuel testlerimizden, büyük eklentilerin genellikle mantıklı güvenlik açığı olduğunu söyleyebiliriz. Bize WordPress eklentisi geliştiricisine ne sunduğunuzdan biraz bahseder misiniz? En son Project Coderisk’imiz, geliştiricilerin ve kullanıcıların eklenti kodlarının güvenlik riskini ücretsiz olarak değerlendirmelerine yardımcı olur. Şimdilik, resmi WordPress deposunda barındırılan WordPress eklentisi ile sınırlıdır.
WordPress deposundan otomatik olarak yeni bir eklenti alıyoruz ve PHP RIPS güvenlik tarayıcımızla tarıyoruz. RIP’ler detay sonuçları kolay bir risk değerini anlamak için birleştirilir. Başarılı sömürünün ciddiyetini, kod büyüklüğü ile ilgili bulunan sorunların sayısı ve sorunların olasılığı üçüncü taraflarca kötüye kullanılabilir.
Eklenti geliştiricileri, otomatik bir sistem aracılığıyla kendi eklentileri için tam ayrıntılı sonuçlar talep edebilir. Güvenlik açığı olasılığını iyileştirmek ve kodlarını sertleştirmek için bilgileri kullanabilirler, böylece WordPress ekosistemini daha güvenli hale getirirler. Coderisk’in arkasındaki fikir, eklenti geliştiricilerini güvenliği anlamasalar bile kendi kodlarında sorun bulmaları için güçlendirmektir. WordPress Security hakkında çok fazla araştırma yapmamıza ve geliştiricilere çok fazla güvenlik açığı rapor etsek de, her şeyi manuel olarak analiz etmek için çok fazla eklenti var. Serbest kaynak kod analiz hizmetinize abone olan ve kullanan birçok eklenti geliştiricisi var mı? WordPress topluluğunun yanıtı nedir? Şu anda, eklentilerindeki güvenlik açığı riskini azaltmak için CODERISK kullanan birkaç düzine eklenti geliştiricisi bulunmaktadır. Şimdiye kadar çok iyi geri bildirim aldık ve Coderisk yüzlerce sorunun çözülmesine yardımcı oldu. Otomatik tarayıcılar, sömürülmeyebilecek olumlu hataları ve kenarları bildirme eğilimindedir. Birçok geliştiricinin güvenliği anlamadığı düşünüldüğünde, onlara yardım etmek ve sahte alarmdan kaçınmak için ne yapıyorsunuz?
Rips teknolojisi ne yapar? RIPS Technologies, Bochum, Almanya merkezli yüksek bir Tech şirketidir. PHP uygulamaları için yerel yazılım kurulumları veya çok ölçeklenebilir bulut hizmetleri olarak otomatik güvenlik analizi sağlıyoruz. Özellikle PHP’ye adanmış yenilikçi kod analiz algoritmamız, diğer çözümlerin aksine modern uygulamalardaki karmaşık güvenlik açıklarını belirleyebilir. Misyonumuz güvenlik geliştiricilerine ve profesyonellerine en doğru ve verimli güvenlik analizini sağlamaktır. Geliştirici tarafından yapılan en yaygın güvenlik hatası nedir ve WordPress eklentisinde gördüğünüz ilk 3 güvenlik açığı nedir?
Şaşırtıcı olmayan bir şekilde, en yaygın sorun, kullanıcı girişi HTML yanıt sayfasına doğru sanitasyon olmadan her yazdırıldığında gerçekleşen çapraz yer komut dosyalarının (XSS) güvenlik açığıdır. Birincisi, bu sorun genellikle veri çıktısı PHP uygulamalarının en yaygın çalışması olduğu ve bu nedenle güvenlik ihlallerinden diğer operasyonlardan daha fazla etkilenmesi nedeniyle ortaya çıkar. İkincisi, HTML bağlamlarının çeşitliliği ve sanitasyondaki tuzakları göz önüne alındığında, bu sorun kolayca tanıtılabilir. Siteler arası komut dosyası (XSS) güvenlik açığı WordPress’te oldukça ciddidir, çünkü örneğin şablonun editörü aracılığıyla PHP kodunu enjekte etmek için kullanılabilir. Neyse ki, yöneticilerle etkileşime ihtiyaçları var. En yaygın ikinci sorun SQL enjeksiyon güvenlik açığıdır. SQL enjeksiyonları, çapraz yerinde komut dosyalarının güvenlik açığından daha kötüdür, çünkü en kötü durumda, kullanıcı etkileşimi olmadan veritabanlarından – örneğin şifrelerden – hassas bilgileri çıkarmak için kullanılabilirler. Sonuç olarak, tamamen otomatik tehlikeli saldırılar için kullanılabilirler. En popüler/indirilen eklentilerin genel güvenlik duruşu ne kadar iyi mi? Bunu cevaplamak zor çünkü en popüler 1.000 eklentiyi ayrıntılı olarak görmedim. Bu tür işlemlerin tamamlanması aylar alacak ve hazır olduğumuzda, bazı eklentiler çok sık güncellendiğinden tekrar başlamamız gerekiyor.
Bu nedenle, kod riski gibi otomatik güvenlik hizmetlerinin kullanılması neden önemlidir. Her ne kadar depoda yaptığımız otomatik ve doğrulanmamış kaynak kodunun taranmasından kaynaklanan Coderisk skorundan da, zayıf puanlara sahip eklentiler olmasına rağmen çoğu kodun kötü olmadığını söyleyebilirim. Bu eklentilerin çoğu çok büyük ve birçok işlevi var. Bu, otomatik olarak bir yerde hataya sahip olma olasılığını artırır. Manuel testlerimizden, büyük eklentilerin genellikle mantıklı güvenlik açığı olduğunu söyleyebiliriz. Bize WordPress eklentisi geliştiricisine ne sunduğunuzdan biraz bahseder misiniz? En son Project Coderisk’imiz, geliştiricilerin ve kullanıcıların eklenti kodlarının güvenlik riskini ücretsiz olarak değerlendirmelerine yardımcı olur. Şimdilik, resmi WordPress deposunda barındırılan WordPress eklentisi ile sınırlıdır.
WordPress deposundan otomatik olarak yeni bir eklenti alıyoruz ve PHP RIPS güvenlik tarayıcımızla tarıyoruz. RIP’ler detay sonuçları kolay bir risk değerini anlamak için birleştirilir. Başarılı sömürünün ciddiyetini, kod büyüklüğü ile ilgili bulunan sorunların sayısı ve sorunların olasılığı üçüncü taraflarca kötüye kullanılabilir.
Eklenti geliştiricileri, otomatik bir sistem aracılığıyla kendi eklentileri için tam ayrıntılı sonuçlar talep edebilir. Güvenlik açığı olasılığını iyileştirmek ve kodlarını sertleştirmek için bilgileri kullanabilirler, böylece WordPress ekosistemini daha güvenli hale getirirler. Coderisk’in arkasındaki fikir, eklenti geliştiricilerini güvenliği anlamasalar bile kendi kodlarında sorun bulmaları için güçlendirmektir. WordPress Security hakkında çok fazla araştırma yapmamıza ve geliştiricilere çok fazla güvenlik açığı rapor etsek de, her şeyi manuel olarak analiz etmek için çok fazla eklenti var. Serbest kaynak kod analiz hizmetinize abone olan ve kullanan birçok eklenti geliştiricisi var mı? WordPress topluluğunun yanıtı nedir? Şu anda, eklentilerindeki güvenlik açığı riskini azaltmak için CODERISK kullanan birkaç düzine eklenti geliştiricisi bulunmaktadır. Şimdiye kadar çok iyi geri bildirim aldık ve Coderisk yüzlerce sorunun çözülmesine yardımcı oldu. Otomatik tarayıcılar, sömürülmeyebilecek olumlu hataları ve kenarları bildirme eğilimindedir. Birçok geliştiricinin güvenliği anlamadığı düşünüldüğünde, onlara yardım etmek ve sahte alarmdan kaçınmak için ne yapıyorsunuz?
Kullanıcılarımız, güvenlik riskleri oluşturan kodu vurguladığımızı fark etmelidir. Kasıtsız güvenlik açığı arasında, bu aynı zamanda diğer bulguları, örneğin gelecekte bir tehdit olabilecek zayıf koruma içerir. Sorunun gelecekte bir güvenlik tehdidi olmayacağından emin olmak için bir sorunun kullanılabileceğini ve nasıl kullanılabileceğini bilmenize gerek yoktur. Örneğin, bir işlevin dönüş değerini yazdırırsanız, çapraz yerinde komut dosyalarının güvenlik açığını önlemek için düzgün bir şekilde teşvik ettiğinizden emin olun. İade edilen değer kullanıcı girişi içermese bile, bu gelecekte olmayabilir. Bu ücretsiz WordPress projesinin nerede kaldığını görüyorsunuz? Bunun için bir planın var mı? Belki mobil geliştiriciler için premium hizmetler sunmak, sonuçları anlamalarına ve en iyisini yapmalarına yardımcı olursunuz? Bir sonraki Coderisk sürümü, çoğu blogun ayrılmaz bir parçası oldukları ve genellikle güvenlik açığı içerdiğinden WordPress temasına destek ekleyecektir. Bir noktada kodlayıcı diğer içerik yönetim sistemlerine genişletmek istiyoruz. Şu anda premium hizmetler için bir plan yoktur, ancak yeterli talep varsa, bu değişebilir. Daha güvenli bir kod yazabilmeleri için takip edilecek en iyi geliştirme için iki veya üç en iyi uygulama geliştiricisine verebilir misiniz?
