Technologie und Sicherheit

OpenCulturas ist Teil des Drupal-Ökosystems

"Standing on the shoulders of giants" — OpenCulturas ist eine Drupal-Distribution, also ein Drupal-Kernsystem mit einer erklecklichen Anzahl an etablierten Modulen sowie einem beliebten Backend-Design. Darauf aufbauend wurden ein Standard-Frontend-Design für OC erstellt und einige Individualentwicklungen eingebaut, die Teil von OpenCulturas sind, also ebenfalls unter der GNU-GPL-Lizenz stehen.

Version 1.0 wurde 2022 auf Drupal.org veröffentlicht. Der Quellcode kann auf Drupal GitLab heruntergeladen werden. Er ist aus technischen Gründen auch auf GitHub  zu finden, aber das ist nicht das Haupt-Repository.

Wir halten Coding-Standards ein und spielen Verbesserungen/Entwicklungen zurück in die Community-Infrastruktur (= Contributions).

Externe Bausteine/Libaries wie z. B. OpenStreetMap oder Swiffy Slider werden über dedizierte Module verwaltet, unter Verwendung von Composer.

Was ist Drupal? Ein mächtiges Content-Management-Framework mit einer riesigen Entwickler:innengemeinde, das auf PHP/Symfony basiert.

Sicherheit und Offenlegung

Es ist erforderlich, OpenCulturas (wie jede andere Software auch) aktuell zu halten. Es werden stets neue Sicherheitslücken gefunden. Deshalb gibt es speziell bei Open-Source-Software gut etablierte Verfahren für Sicherheitsupdates. Wir profitieren von Drupals robustem Sicherheitskonzept und die Sicherheitsupdates werden kontinuierlich zeitnah in OpenCulturas integriert.

Verantwortungsvolles Offenlegen

Wenn du eine Sicherheitslücke gefunden hast: verkünde sie nicht öffentlich. Mache dir bewusst, dass du alle angreifbar machst, die die Software nutzen, wenn du potentiellen Angreifern Hinweise auf einen Angriffsvektor gibst! Folge statt dessen dem empfohlenen Prozess, eine Lücke zu melde und hilf dadurch dem Security-Team, das Wissen darüber geheim zu halten, bis ein Sicherheitsupdate bereitgestellt werden kann. Das ist gemeint mit dem gängigen Begriff Responsible disclosure.

So wird eine Sicherheitslücke gemeldet

Wenn du sicher bist, dass du einen Bug in Drupal gefunden hast, melde ihn bitte direkt an das Drupal-Security-Team.

Sollte es sich mit Sicherheit um eine OpenCulturas-spezifische Sicherheitslücke handeln (oder falls du nicht sicher bist), melde den Bug ans OpenCulturas-Team auf Drupal.org. Beschreibe bitte die Schritte, um deine Erkenntnisse nachvollziehen zu können. Wenn dein Englisch dafür nicht ausreicht, wende dich per E-Mail an hallo@openculturas.org, aber nenne uns noch keine Details! Wir melden uns bei dir und lotsen dich durch den Prozess.

Bitte gib uns dann etwas Zeit, um das Problem nachzuvollziehen, bevor du es an anderer Stelle probierst. In keinem Fall solltest du ein öffentliches Fehlerticket erstellen (z. B. auf GibHub oder Drupal.org), wenn du Zweifel an der Sicherheit einer Komponente hast, auch wenn du nicht sicher sagen kannst, ob es sich um einen Bug handelt.

Gut zu wissen

Wenn die Konfiguration einer OpenCulturas-Instanz geändert wird, speziell im Bereich der Berechtigungen, sollte man wissen, was man tut. Speziell unabsichtliches Veröffentlichen von Daten (z. B. die E-Mail-Adressen der User) ist oft auf arglose Berechtigungsänderungen zurückzuführen.

 

Im CMS-Garden-Blog gibt es einen lesenswerten Artikel darüber, warum uns  Softwaresicherheit in jeder Hinsicht interessieren sollte.