Decidim a SonarQube - formální kontrola bezpečnosti kódu #5

Open
opened 2021-01-30 16:02:22 +01:00 by Podhorecky · 3 comments
Podhorecky commented 2021-01-30 16:02:22 +01:00 (Migrated from git.spotter.cz)

Mam tu jedno "nepopulární" issue.. Až splácáme dokupy nějakou blízkou verzi Decidimu, potřeboval bych, abychom na to spustili kouzelný software SonarCube (nebo cokoliv jiného) a odhalili jak je na tom s bezpečností. (otázku přilepených modulů zanedbáme)

Hlavním účelem je mít v ruce nějaký "report" k veřejné site. Takže až to doběhne, vy se dochechtáte nad tou pošetilostí, tak prosím vyrobit z toho reportu s pomocí tlačítka "tisk" nějaké PDF, kde nemusí být patrné úplně všechno, ale stačí sdělení že SonarQube posoudil, že to je "jakž-takž bezpečné"... k verzi číslo XY. mno..

Tohle PDF asi budu muset přilepit na site. (nebo mít neveřejně na vyžádání?) Bez toho si do mě každý kopne, jakmile objeví libovolnou hnidu. Ono už takhle stačí, že GDPR. Takže já jako správce dat mám dilema, jak to vyřešit s tím ověřováním identit.

Asi se na to nucené ověřování identit vyseru, protože chtít aby mi skenoval občanku a posílal ji do cizího webu je v tuto chvíli zbytečné.

Nebo vás napadá nějaké jiné efektivnější opatření co v této věci udělat?

Mam tu jedno "nepopulární" issue.. Až splácáme dokupy nějakou blízkou verzi Decidimu, potřeboval bych, abychom na to spustili kouzelný software SonarCube (nebo cokoliv jiného) a odhalili jak je na tom s bezpečností. (otázku přilepených modulů zanedbáme) Hlavním účelem je mít v ruce nějaký "report" k veřejné site. Takže až to doběhne, vy se dochechtáte nad tou pošetilostí, tak prosím vyrobit z toho reportu s pomocí tlačítka "tisk" nějaké PDF, kde nemusí být patrné úplně všechno, ale stačí sdělení že SonarQube posoudil, že to je "jakž-takž bezpečné"... k verzi číslo XY. mno.. Tohle PDF asi budu muset přilepit na site. (nebo mít neveřejně na vyžádání?) Bez toho si do mě každý kopne, jakmile objeví libovolnou hnidu. Ono už takhle stačí, že GDPR. Takže já jako správce dat mám dilema, jak to vyřešit s tím ověřováním identit. Asi se na to nucené ověřování identit vyseru, protože chtít aby mi skenoval občanku a posílal ji do cizího webu je v tuto chvíli zbytečné. Nebo vás napadá nějaké jiné efektivnější opatření co v této věci udělat?
Disassembler commented 2021-01-30 17:04:45 +01:00 (Migrated from git.spotter.cz)

tak prosím vyrobit z toho reportu s pomocí tlačítka "tisk" nějaké PDF

Ano, to je rozhodně logické a žádané použití software pro analýzu kódu a proto taková funkce existuje pouze v placené verzi SonarQube. Ale nevěšte hlavu, existují i pluginy třetích stran. Oh, wait, taky placené. Můžete věšet.

V prvotním scanu SonarQube identifikoval 5364 položek v 63 kategoriích, z toho 944 jako bugy. Připomínám opět, že jde pouze o nějaká statická pravidla, která nějaká společnost považuje za hodná kontroly, takže celý ten cirkus plní spíše poradní funkci. Takových toolů je 12 do tuctu, některý možná bude umět i reporty. Jde Vám tedy jen o to, mít v ruce výstup z nějakého relativně známého nástroje pro analýzu kódu, který kontroluje třeba i různé CWE a OWASP zranitelnosti, a který říká, že Decidim je OK?

> tak prosím vyrobit z toho reportu s pomocí tlačítka "tisk" nějaké PDF Ano, to je rozhodně logické a žádané použití software pro analýzu kódu a proto taková funkce existuje pouze v placené verzi SonarQube. Ale nevěšte hlavu, existují i pluginy třetích stran. Oh, wait, taky placené. Můžete věšet. V prvotním scanu SonarQube identifikoval 5364 položek v 63 kategoriích, z toho 944 jako bugy. Připomínám opět, že jde pouze o nějaká statická pravidla, která nějaká společnost považuje za hodná kontroly, takže celý ten cirkus plní spíše poradní funkci. Takových toolů je 12 do tuctu, některý možná bude umět i reporty. Jde Vám tedy jen o to, mít v ruce výstup z nějakého relativně známého nástroje pro analýzu kódu, který kontroluje třeba i různé CWE a OWASP zranitelnosti, a který říká, že Decidim je OK?
Podhorecky commented 2021-01-30 17:18:40 +01:00 (Migrated from git.spotter.cz)

Aha, zase si to představuji příliš snadně... :) Nechci vás trápit, kdybyste objevil nějaký "libovolný nástroj" (mezi sysadminy trochu důvěryhodný) který umí říct: Software XY je podle průzkumu kódu bezpečný měřítkem procent, nějakého benchmarku, nebo jiné metriky, ke dni a verzi, tak mi to stačí.

Já bych se mohl vymluvit na to, že SW nevyvíjim, což je pravda, nicméně tato informace by mohla být v záloze proti zvlášť otravným lidem.

Ještě bych měl v záloze sdělení, že site neprovozuje žádný google analytics, žádný harvesting behaviorálních dat za účelem zpeněžení, ani těžbu bitcojnů...

ale jak říkám, může to být později.

Aha, zase si to představuji příliš snadně... :) Nechci vás trápit, kdybyste objevil nějaký "libovolný nástroj" (mezi sysadminy trochu důvěryhodný) který umí říct: Software XY je podle průzkumu kódu bezpečný měřítkem procent, nějakého benchmarku, nebo jiné metriky, ke dni a verzi, tak mi to stačí. Já bych se mohl vymluvit na to, že SW nevyvíjim, což je pravda, nicméně tato informace by mohla být v záloze proti zvlášť otravným lidem. Ještě bych měl v záloze sdělení, že site neprovozuje žádný google analytics, žádný harvesting behaviorálních dat za účelem zpeněžení, ani těžbu bitcojnů... ale jak říkám, může to být později.
Podhorecky commented 2021-04-11 12:28:04 +02:00 (Migrated from git.spotter.cz)
moved from Podhorecky/Hosting#52
Sign in to join this conversation.
No description provided.