Внимание! Модули с бэкдюрами!
11 февраля 2023 в 15:18
Нашел в статье Обзор CMS Drupal 9.4.8 такое стремное предупреждение:
✘ В некоторые модули сторонних разработчиков, размещённые в том числе в официальном каталоге движка (около 4 сотен), могут быть внедрены бэкдоры, рассчитанные исключительно на российских пользователей.
Похоже, что это один из элементов информационной войны с Россией.
Настолько это актуально, и что предпринимается разработчиками и администраторами, чтобы не допустить такие модули в общий репозиторий Друпала?
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Разработчиками может предприниматься все чтобы включить свои модули пусть не в ядро Друпала, но в виде контриба.
Нашли модули с бекдорами - пишите на орг. Администраторы там уже примут решение.
И да это настолько реально для Друпала насколько же для любой другой системы. Не обязательно опен сорс. Даже более того - в опен сорс системе - на ваши гипотетические замечания с большой вероятностью внимание обратят.
Модули, публикуемые на drupal.org проверяются на бэкдоры и прочий вредоносный код, тем не менее, исторически так сложилось, что в сообществе drupal немало граждан Украины, и, например, в прошлом марте некоторые компании из этой страны, занимавшиеся разработкой и поддержкой сайтов были уличены во встраивании бэкдоров и несанкционированных публикациях на подконтрольных им сайтах.
В целом риски невелики, сообщество крайне негативно относится к подобным закидонам, но если используете сторонние модули, то перед обновлением основного сайта, крайне желательно все-таки тестировать обновления, особенно если среди разработчиков модуля есть граждане Украины.
Узнать есть ли в составе разработчиков граждане какой угодно страны, вы сможете только если они вам об этом сообщат. При большом желании вычислить можно.
Информация о том что случилось в прошлом марте, получена из украинского ТГ канала.
Тестирование обновлений на вероятность гипотетического бекдора - так же как и в любой другой системе.
Ну если нашел, то понятно, что делать. А если не нашел?
В том смысле, что если я начал использовать какой-то модуль, работает вроде нормально, но поди знай, есть в нем бэкдюр или нет, ведь мои возможности по их поиску весьма ограничены.
Я веду к тому, что профессионалы, которые поддерживают репозитарий, в поиске бэкдюров имеют гораздо больше способностей, и хорошо бы им устроить тотальную ревизию модулей.
По поводу .org.
Не кажется ли, что владельцы этого иноземного ресурса (он же не российский) заодно с бэкдюровцами и будут только поощрять их деструктивные действия?
>Я веду к тому, что профессионалы, которые поддерживают репозитарий, в поиске бэкдюров имеют гораздо больше способностей, и хорошо бы им устроить тотальную ревизию модулей.
Такая ревизия проводится, есть специальная команда, которая проверяет как ядро друпала, так и сторонние модули на уязвимости и прочий вредоносный код. Но ничто в мире не идеально, так что нужно понимать, что риск, пусть и небольшой, есть всегда. В целом, если вы пользуетесь крупным и популярным модулем, риски очень малы, основные риски в очень нишевых и малопопулярных модулях, где разработчик действительно может что-то встроить, так что по возможности не пользуйтесь такими, либо активно тестируйте, смотрите код каждого обновления такого модуля.
> Не кажется ли, что владельцы этого иноземного ресурса (он же не российский) заодно с бэкдюровцами и будут только поощрять их деструктивные действия?
Нет, не кажется. Несмотря на то, что владельцы drupal.org публично осудили войну на Украине, их политика осталась неизменной- сообщество остается открыто и безопасно для всех участников, независимо от страны их проживания. Никакое встраивание вредоносного кода ни в ядро ни в сторонние модули недопустимо и карается.
А кто вам сказал, что внутри вашей страны все с вами политически согласны?
Мне такого никто не говорил, но риски того, что житель РФ встроит вредоносный код, работающий исключительно внутри РФ существенно ниже, хоть и не нулевые.
А без эмоций и политики?
Какие модули? Ссылки на гит с кусками бекдоров? Ссылки на обсуждения проблем?
Было в одной библиотеке, так там подкинувшему по более другие майнтейнеры надевали, все вернул обратно.
Нечего тащить политику в опенсорс, и сюда на форум тоже.
Советую меньше информационного мусора читать, и тем более его повторять.
Ну и меньше искать гипотетических врагов, заодно...