Bezpečnostní politika Zabbixu

Při vývoji nových verzí softwaru Zabbix dodržuje přísné procesy podle Zásad životního cyklu a nových releasů Zabbixu. Všechny úkoly podléhají přísným standardům uloženým společností Zabbix:

  • Všichni Zabbix vývojáři dodržují projekt pokyny pro kódování
  • Veškerý kód je před publikováním zkontrolován vedoucím vývojářem
  • Všechny úkoly jsou testovány inženýry kvality
  • Jakmile je vydána hlavní verze Zabbixu, prochází interním bezpečnostním auditem, který vede tým Zabbix Security.

Ačkoli je vývojový proces navržen tak, aby eliminoval jakoukoli možnost bezpečnostních problémů, přesto je ale možné, že se chyby objeví. Řešení problémů v oblasti bezpečnosti Zabbix považuje za jednu ze svých priorit. Vezměte ale prosím na vědomí, že Zabbix neopravuje problémy se zabezpečením ve verzích, které již nejsou podporovány. V případě, že je to nutné - je vlastní vývoj účtovaný hodinovou sazbou.

Zásady zveřejňování

V Zabbixu používáme termín „zodpovědné zveřejnění“, což znamená, že respektujeme zásady ohledně zveřejňování problémů v oblasti bezpečnosti. V praxi to znamená, že ke zveřejnění takového problému dojde až poté, co je vyřešen a všichni zákazníci, kteří mají podepsanou smlouvu o podpoře, dostanou čas na upgrade nebo opravu jejich instalace.

Proto vás laskavě žádáme, abyste při hlášení bezpečnostního problému postupovali podle stejných pokynů a sdíleli podrobnosti pouze s týmem Zabbix Security.

Před nahlášením problému:

Ujistěte se, že daný problém nesouvisí s konfigurací serveru, skripty a programy třetích stran. Aby se předešlo možným problémům s konfigurací serveru, doporučujeme uživatelům si přečíst: Best practices jak zajistit bezpečně nastavit Zabbix.

Jak nahlásit bezpečnostní problém?

Vytvořte nové issue v části Zabbix Security Reports (ZBXSEC) ve veřejném nástroji pro sledování chyb, podrobně problém popište (pokud je to možné, navrhněte jeho řešení). Tímto způsobem můžeme zajistit, aby měl k případu přístup pouze tým Zabbix security a reportér problému.

Následující informace budou užitečné pro Zabbix Security tým:

  • Datum a čas, kdy jste chybu zjistili.
  • V jaké verzi (verzích) Zabbixu se chyba vyskytuje
  • O jaký typ problému se jedná, např .: XSS, CSRF, SQLi, RCE.
  • Kterých komponent se problém týká, např.: Frontend, Server, Agent, API.
  • Veškeré další podrobnosti, které můžete poskytnout, např. snímky a záznamy obrazovky, protokoly transakcí http(s), zneužití POC (nesdílejte žádné důkazy prostřednictvím služeb neověřeného sdílení souborů a vyhněte se sdílení citlivých informací, jako by Zabbix Security tým rozhodl, že tento problém neodpovídá popisu bezpečnostní chyby, a tím pádem může to být přesunut do projektu ZBX, kde ho budou vidět všichni uživatelé).
  • Pokyny krok po kroku vedoucí k reprodukci problému, protože tento problém nemusí být snadno identifikovatelný.

Jak Zabbix řeší hlášené problémy v oblasti bezpečnosti:

  1. Zabbix Security tým problém přezkoumá a vyhodnotí jeho potenciální dopad.
  2. Pokud nebude problém spadat do oblastní security, bude přesunut do projektu ZBX.
  3. Zabbix Security tým pracuje na vyřešení problému a zároveň o něm zaznamená a uchová všechny podrobnosti až do vydání další verze Zabbixu.
  4. Nové balíčky jsou ke stažení na https://zabbix.com/download
  5. Zabbix vyžaduje CVE identifikátory pro všechny bezpečnostní problémy.
  6. Klienti, kteří mají platné smlouvy o podpoře, jsou na bezpečnostní problémy upozorněni e-mailem, takže získávají čas navíc, aby provedli upgrade, než se o problému dozví veřejnost.
  7. Dochází k veřejnému oznámení problému komunitě.

Veřejný program odměn Zabbixu za chyby na HackerOne

Zabbix navázal partnerství s HackerOne na otevření veřejného programu odměňování chyb, kde mohou etičtí hackeři hledat potenciální bezpečnostní slabiny a získat odměnu za nalezené a ověřené problémy. Zabbix veřejný bug bounty program umožňuje hackerům přispívat k bezpečnosti produktu tím, že odhalí potenciální bezpečnostní zranitelnosti v různých komponentách Zabbix, jako je frontend, server, proxy, agent, API a další procesy Zabbixu. Program nabízí až 3 000 $ jako odměnu za objevení a nahlášení chyby. Další informace naleznete na stránce odměny za chyby Zabbixu: https://hackerone.com/zabbix