Blog

Blog

Interview: P. Niederlag – „civserv Extension Review im Kundenauftrag“

Das heutige Security Bulletin zu „civserv“, dem virtuellen Rathaus für TYPO3, hat eine besondere Vorgeschichte: Gefunden wurden die Schwachstellen nämlich im Rahmen eines ausführlichen „Extension Review“, also der gezielten Prüfung der Extension im Auftrag der Entwickler.

Das heutige Security Bulletin zu „civserv“, dem virtuellen Rathaus für TYPO3, hat eine besondere Vorgeschichte: Gefunden wurden die Schwachstellen nämlich im Rahmen eines ausführlichen „Extension Review“, also der gezielten Prüfung der Extension im Auftrag der Entwickler. Geleitet wurde dieses Review durch Peter Niederlag, Mitglied des TYPO3 Security Teams und Mitverfasser des „TYPO3 Kochbuch„. Als erstes Interview im Rahmen dieses Blogs habe ich Peter einmal gefragt, wie das ablief.

Wie kam es zu diesem Review?
Die Extension-Entwickler (Fa. citeq) wollten gerne das Review zur eigenen Qualitätssicherung – aber auch als Qualitätsmerkmal gegenüber ihren Kunden. Sie haben das TYPO3 Security Team angesprochen und innerhalb des Teams habe ich den Auftrag übernommen.

Wie wurde das Review durchgeführt?
Wir haben dieses „Peer-Review“ zu zweit durchgeführt – Sven Gähle und ich. Dabei wurde der Code analysiert und geprüft, und die Ergebnisse als Reviewdokument mit allen Befunde an Kunden gegeben. Anschließend erfolgte die Behebung durch die Entwickler. Das Ergebnis haben wir dann nochmal intensiv gegengeprüft.

Hat sich die Arbeit im Team, also mit zwei Reviewern, bewährt?
Auf jeden Fall. Das ist auch Bedingung für die Durchführung, um wirklich exzellente Ergebnisse zu erzielen.

Wem würdest Du ein solches beauftragtes Review empfehlen?
Eigentlich ist ein externes Review sinnvoll für alle, die professionell TYPO3 Extensions entwickeln – gerade für weniger erfahrene Entwickler sowie für komplexe Erweiterungen.
Außerdem sollte das natürlich im Interesse der anwendenden Firma liegen! Diesen würde ich sogar empfehlen, solche Dinge in die Verträge aufzunehmen. Das ist sogar dann möglich, wenn die Agentur die fragliche Extension gar nicht selbst programmiert hat – schließlich kann man ja auch Dritt-Extensions reviewen lassen.

An wen sollten Interessierte sich wenden?
Immer an das TYPO3 Security Team. Selbst wenn man eine andere Firma „an der Hand hat“, die das Review durchführen soll, sollte das vom Security Team begleitet werden. Auf keinen Fall sollte die entwicklende Agentur selbst reviewen.

Und was kostet das?
Das hängt vom Einzelfall ab, das geht nicht anders – schließlich gibt es kleine und riesengroße Erweiterungen.

Fließt das Ergebnis ins öffentliche TYPO3 Extension Repository ein?
Klar.

Warum werden Extensions eigentlich nicht kostenlos vom TYPO3 Projekt gereviewed?
Wir haben tausende Extensions! Und jedes Review ist nicht unerheblicher Aufwand, wer sollte das in seiner Freizeit leisten, und mit welcher Motivation? Hier funktioniert Open Source eben anders, nämlich so, dass ernsthafte Anwender einerseits lizenzkostenfreie Software verwenden, die andere zur Verfügung gestellt haben – andererseits Ihren Teil zum Projekt beisteuern, indem sie eine externe Qualitätssicherung bezahlen. Oder eben dass eine qualitätsbewusste Agentur die externe Prüfung als Teil Ihrer Leistung begreift. Ich finde beides sehr positiv!

Ok. Was wäre sonst noch zu sagen?
Also zunächst: Dieser Weg hat sich wirklich bewährt, und dem Security Team ist daran gelegen, das weiter zu fördern. Gerade die aktuelle Vielzahl an aufgedeckten Lücken zeigt ja, wie wichtig eine Qualitätssicherung ist.

Und wie war das Feedback des Auftraggebers, der citeq?
Oh, die waren sehr angetan, wie sorgfältig der ja nicht wenig komplexe Code geprüft wurde. Und vom Ergebnis natürlich auch – ich denke, citeq würde das wieder machen. Uns selber hat die Zusammenarbeit übrigens auch Spaß gemacht. Vielen Dank nach Münster an dieser Stelle.

Ja, und danke an Dich für das erfolgreiche Review und für dieses Interview!

Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt dazustellen. Den Browser jetzt aktualisieren

Diese Webseite verwendet Cookies und das Webanalyse-Tool Google Analytics. Durch die Nutzung unserer Seiten erklären Sie sich damit einverstanden.

Eine Widerspruchsmöglichkeit finden Sie in unserer Datenschutzerklärung.
Einverstanden