个别用户可能对于我们当前软件商店里面的第三方插件安全性会有疑问,这帖子比较细致的回应下疑问点。
一:
疑问:宝塔会负责任的对每个插件进行代码审计吗?
解答:如果插件安全性出问题虽然开发者是第三方,但用户逻辑肯定认为宝塔会负有很大的连带责任,这种锅我们是甩不掉的,所以我们宝塔肯定必须是要全力以赴的去审计代码的。
二:
疑问:为什么不将插件虚拟机隔离运行或用其他方式在底层来保障安全
解答:就算隔离运行也需要给插件足够的权限,否则插件开发变得没有意义,此时不但没有增强安全性反而大大增加了服务器开销,所以只有代码审计是当前可行的方法
三:
疑问:插件的发布流程大致是怎么样的?
解答:1.核实第三方开发者身份 2.开发者将开发好的代码托管到我们宝塔云端 3.每发布一个版本都由人工重新做代码审计
四:
疑问:对于第三方插件的代码审计有哪些要点
解答:包括但不仅限于以下几个方面
1、是否有收集用户资料
2、是否连接第三方网站
3、是否有执行外部代码的风险
4、对于允许公共访问的插件,需做渗透测试
5、是否有连接或遍历用户文件等敏感行为
6、XSS渗透测试
7、安装代码安全性测试
五:
疑问:插件多了会不会导致审核变宽松
解答:对于第三方插件的安全,我们宝塔是有连带责任的,所以我们在这方面一定是宁缺毋滥的,只上自己能审计得来的,审计不了的宁愿不上。
如果还有其他什么疑问,可以继续提出来,我们尽我们所能去解答,如果问题属实则肯定第一时间调整。
|
|
运维要高效,装宝塔
可以,宁缺勿滥,点赞,开发的审核的辛苦了!.jpg)
