Magento vil tilbageholde sikkerhedsrettelser fra open source-koden i to uger
Fremover vil Magento tilbageholde offentliggørelsen af sikkerhedsrettelser til open source-koden bag e-commerce-platformen i to uger.
Tanken er, at brugere af produktet på den måde har to ugers forspring til at installere rettelserne til sårbare udgaver af produktet, før eventuelle angribere får nys om, hvor sårbarheder ligger henne.
Open-source koden bag den udbredte e-commerce-platform modtager bidrag fra mere end 415.000 programmerende medlemmer.
Disse bidrag giver selskaber, såvel som Magento selv, mulighed for at forbedre platformen. Men at lade softwaren være open source kan også have indflydelse på sikkerheden.
Det fortæller John Stockton, seniordirektør for produkter hos Magento, som Version2 har snakket med.
»Man kan argumentere for, at open source er mere eller mindre sikker end traditionel software, og jeg tror, at man i den sammenhæng kan påpege, at open source faktisk er mere sikker, fordi det gennemgår så meget kontrol fra brugernes side,« siger John Stockton.
Med open source-software får brugere – og andre – mulighed for selv at lede efter sikkerhedsbrister og andre potentielle svagheder i koden.
I den sammenhæng håber John Stockton på, at dusører for at finde sikkerhedsbrister kan skabe incitament blandt brugerne til at rapportere kompromitterende fejl til Magento i stedet for at sælge informationen videre til svindlere.
»Brugen af open source-software betyder, at der er en større chance for, at brugere finder og identificerer sikkerhedsmæssige svagheder ved softwaren. Det samme gør sig gældende for dusørkonceptet Bug Bounty Program (Magentos program for udbetaling af findeløn i forhold til sikkerhedsrettelser, red.),« siger John Stockton.
Forspring til butiksejere
Et af de sikkerhedsmæssige problemer for Magento har været, når virksomheder har kørt deres hjemmeside på uddaterede versioner af Magento.
En af grundene til, at dette har været et problem, er, at de nyeste sikkerhedsopdateringer til softwaren er open source. På den måde bliver offentligheden informeret om, hvad de aktuelle sikkerhedsopdateringer har rettet op på.
Dette har ondsindede aktører kunnet bruge som ledetråde til at finde sikkerhedsbrister i gamle versioner af softwaren.
»Det er altid en udfordring, når du fikser et problem, og du så kommunikerer ud til folk, hvad det er, du har fikset. Det kan give hackere et fingerpeg i forhold til, hvad de skal lede efter, hvis de finder en hjemmeside, der kører på en gammel udgave af softwaren,« siger John Stockton.
Og derfor har Magento nu valgt at give e-butiksejerne et forspring på to uger til at installere disse opdateringer, før rettelserne bliver gjort offentligt tilgængelige i open source-koden.
»De to uger er ikke en omfattende forsinkelse, men det giver kunden mulighed for at installere opdateringer, før open source-koden publiceres,« siger John Stockton.
Han påpeger i den forbindelse, at det fortsat er vigtigt at opdatere sin hjemmeside, så snart man får mulighed for det.
»Der er folk, der bygger en hjemmeside via Magento, og betragter det som et engangsprojekt, hvor du ikke behøver gøre mere ved hjemmesiden, så snart du har bygget den færdig,« siger John Stockton.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
