Decidim a SonarQube - formální kontrola bezpečnosti kódu #5
Labels
No Label
critical
CZ
documentation
Doing
enhancement
GMaps
info
Mapbox
needinfo
new-app
OSM
performance
QGIS
regression
suggestion
To Do
upstream
No Milestone
No project
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: Spotter-Cluster/decidim#5
Loading…
Reference in New Issue
Block a user
No description provided.
Delete Branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Mam tu jedno "nepopulární" issue.. Až splácáme dokupy nějakou blízkou verzi Decidimu, potřeboval bych, abychom na to spustili kouzelný software SonarCube (nebo cokoliv jiného) a odhalili jak je na tom s bezpečností. (otázku přilepených modulů zanedbáme)
Hlavním účelem je mít v ruce nějaký "report" k veřejné site. Takže až to doběhne, vy se dochechtáte nad tou pošetilostí, tak prosím vyrobit z toho reportu s pomocí tlačítka "tisk" nějaké PDF, kde nemusí být patrné úplně všechno, ale stačí sdělení že SonarQube posoudil, že to je "jakž-takž bezpečné"... k verzi číslo XY. mno..
Tohle PDF asi budu muset přilepit na site. (nebo mít neveřejně na vyžádání?) Bez toho si do mě každý kopne, jakmile objeví libovolnou hnidu. Ono už takhle stačí, že GDPR. Takže já jako správce dat mám dilema, jak to vyřešit s tím ověřováním identit.
Asi se na to nucené ověřování identit vyseru, protože chtít aby mi skenoval občanku a posílal ji do cizího webu je v tuto chvíli zbytečné.
Nebo vás napadá nějaké jiné efektivnější opatření co v této věci udělat?
Ano, to je rozhodně logické a žádané použití software pro analýzu kódu a proto taková funkce existuje pouze v placené verzi SonarQube. Ale nevěšte hlavu, existují i pluginy třetích stran. Oh, wait, taky placené. Můžete věšet.
V prvotním scanu SonarQube identifikoval 5364 položek v 63 kategoriích, z toho 944 jako bugy. Připomínám opět, že jde pouze o nějaká statická pravidla, která nějaká společnost považuje za hodná kontroly, takže celý ten cirkus plní spíše poradní funkci. Takových toolů je 12 do tuctu, některý možná bude umět i reporty. Jde Vám tedy jen o to, mít v ruce výstup z nějakého relativně známého nástroje pro analýzu kódu, který kontroluje třeba i různé CWE a OWASP zranitelnosti, a který říká, že Decidim je OK?
Aha, zase si to představuji příliš snadně... :) Nechci vás trápit, kdybyste objevil nějaký "libovolný nástroj" (mezi sysadminy trochu důvěryhodný) který umí říct: Software XY je podle průzkumu kódu bezpečný měřítkem procent, nějakého benchmarku, nebo jiné metriky, ke dni a verzi, tak mi to stačí.
Já bych se mohl vymluvit na to, že SW nevyvíjim, což je pravda, nicméně tato informace by mohla být v záloze proti zvlášť otravným lidem.
Ještě bych měl v záloze sdělení, že site neprovozuje žádný google analytics, žádný harvesting behaviorálních dat za účelem zpeněžení, ani těžbu bitcojnů...
ale jak říkám, může to být později.
moved from Podhorecky/Hosting#52