当前位置:论坛首页 > 宝塔公告

关于个别用户对于第三方插件安全性的回应

2019-4-26 10:41 [复制链接] 12 7855

个别用户可能对于我们当前软件商店里面的第三方插件安全性会有疑问,这帖子比较细致的回应下疑问点。

一:
疑问:宝塔会负责任的对每个插件进行代码审计吗?
解答:如果插件安全性出问题虽然开发者是第三方,但用户逻辑肯定认为宝塔会负有很大的连带责任,这种锅我们是甩不掉的,所以我们宝塔肯定必须是要全力以赴的去审计代码的。

二:
疑问:为什么不将插件虚拟机隔离运行或用其他方式在底层来保障安全
解答:就算隔离运行也需要给插件足够的权限,否则插件开发变得没有意义,此时不但没有增强安全性反而大大增加了服务器开销,所以只有代码审计是当前可行的方法

三:
疑问:插件的发布流程大致是怎么样的?
解答:1.核实第三方开发者身份 2.开发者将开发好的代码托管到我们宝塔云端 3.每发布一个版本都由人工重新做代码审计

四:
疑问:对于第三方插件的代码审计有哪些要点
解答:包括但不仅限于以下几个方面
1、是否有收集用户资料
2、是否连接第三方网站
3、是否有执行外部代码的风险
4、对于允许公共访问的插件,需做渗透测试
5、是否有连接或遍历用户文件等敏感行为
6、XSS透测试
7、安装代码安全性测试

五:
疑问:插件多了会不会导致审核变宽松
解答:对于第三方插件的安全,我们宝塔是有连带责任的,所以我们在这方面一定是宁缺毋滥的,只上自己能审计得来的,审计不了的宁愿不上。

如果还有其他什么疑问,可以继续提出来,我们尽我们所能去解答,如果问题属实则肯定第一时间调整。


使用道具 举报 只看该作者 回复
发表于 2019-4-28 10:48:45 | 显示全部楼层
宝塔用户_cpzxxp 发表于 2019-4-27 19:27
关于Nginx配置的疑问。

本人安装完包括nginx,都是平台安装,没有做任何其他操作,在nginx中默认有一个配 ...

您好,感谢认真反馈,
1、在宝塔中phpmyadmin是统一使用888端口访问,且访问路径是安装phpmyadmin时随机生成的,即无法通过域名直接访问到phpmyadmin的,关于这个,您可以测试一下。
2、之所以在这里绑定www.bt.cn,只是因为此处未使用80端口,故绑定任何域名都意义不大,但我们为了从日志中方便识别,所以给默认绑定了一个域名
3、建议您添加hosts记录 www.bt.cn到服务器IP测试下,检验我上面说的这些解释,谢谢!
使用道具 举报 回复 支持 1 反对 0
发表于 2019-4-26 17:20:01 | 显示全部楼层
信不信这是别人的想法 我们控制不了,不过别人有疑问,那么我们也会给出我们的做事方法出来让别人清晰我们的流程,我们作为服务器软件开发商,安全就是生命线,这类问题都是属于优先级最高的事项,不会马虎。
使用道具 举报 回复 支持 1 反对 0
发表于 2019-4-26 14:38:57 | 显示全部楼层
本帖最后由 痞子哥 于 2020-4-12 16:13 编辑

不相信宝塔还用宝塔的,真的有点自己找纠结。。

大道消息:腾讯云服务器1折起秒杀 每天4场 有需要的塔友可以看看
使用道具 举报 回复 支持 反对
发表于 2019-4-26 15:32:35 | 显示全部楼层
有些人不相信自己,还瞎怀疑别人,出来混竟然还不带脑子
使用道具 举报 回复 支持 反对
发表于 2019-4-27 00:06:25 | 显示全部楼层
可以,宁缺勿滥,点赞,开发的审核的辛苦了!
使用道具 举报 回复 支持 反对
发表于 2019-4-27 11:24:14 | 显示全部楼层
点赞
使用道具 举报 回复
发表于 2019-4-27 11:30:52 | 显示全部楼层
对了,说到插件,最近发现一个插件的问题。之前我部署了七牛的自动备份,昨天公司数据库出了问题,然后,发现26号的数据库并未备份,加入计划任务后,手动点执行,七牛那边并未收到新的备份,查看计划任务日志,发现报错了。然后,查看软件商店,发现七牛备份插件有更新,手动更新后,再次执行,就没问题了。。。。那么问题来了,,,如果我长时间不看宝塔,不看七牛,某一天插件出了新版本,我没有手动更新的话,是否意味着,备份就会停留到插件发布更新时。。。如果在我数据库出问题时,再去更新,已经来不及了。。。昨天就导致了公司少了两天的数据,因为,只备份到了25号凌晨5点,,25号白天一天,26号一整天的数据都没了。。被领导臭骂了一顿。。。   原计划任务是每天凌晨5点左右自动备份,26号凌晨没备份,应该是插件发布了更新。。。。

你这个插件是宝塔官方帮忙开发的插件,非第三方开发插件,同时无论什么插件或者面板,有更新不更新不会影响现有的。至于出问题需要看日志  发表于 2019-4-27 17:05
使用道具 举报 回复 支持 反对
发表于 2019-4-27 19:27:31 | 显示全部楼层
关于Nginx配置的疑问。

本人安装完包括nginx,都是平台安装,没有做任何其他操作,在nginx中默认有一个配置,这个配置,
只要宝塔面板更改一下域名解析,就可以访问任何有宝塔面板服务器的phpmyadmin目录,非常危险,请官方解释,配置这条的目的。

server
    {
        listen 888;
        server_name www.bt.cn;
        index index.html index.htm index.php;
        root  /www/server/phpmyadmin;

        #error_page   404   /404.html;
        include enable-php.conf;

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }

        location ~ /\.
        {
            deny all;
        }

        access_log  /www/wwwlogs/access.log;
    }





使用道具 举报 回复 支持 反对
发表于 2019-4-28 10:56:53 | 显示全部楼层
良哥 发表于 2019-4-28 10:48
您好,感谢认真反馈,
1、在宝塔中phpmyadmin是统一使用888端口访问,且访问路径是安装phpmyadmin时随机生 ...

这条记录若没什么用,在初始化的时候还是不要写吧,避免误会。支持宝塔!

记录的作用是为了检查phpmyadmin是否被暴破,为避免误会已将默认域名修改为 phpmyadmin  发表于 2019-4-28 11:05
使用道具 举报 回复 支持 反对
发表于 2019-8-12 14:36:06 | 显示全部楼层
感觉应该对标题和内容对顶审核严格一点,毕竟插件目前不能试用,防止标题党。
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表