Was wir tun, um die Linchpin Intranet Suite sicher zu machen

Ein Social Intranet muss sicher sein. Wer fleißig die Release Notes der Linchpin Intranet Suite liest, wird darin auch immer wieder einigen (zum Glück nur potenziellen) geschlossenen Sicherheitslücken begegnet sein. Das ist zwar auf den ersten Blick nicht schön und mag vielleicht sogar etwas irritieren, doch eigentlich ist das ein Zustand, der uns freut. (Natürlich freuen wir uns nicht über die Lücken, sondern darüber,  dass wir sie nach und nach entdecken und eliminieren!)

Seit einer Weile steht das Thema Security (neben der Performance) ganz oben auf unserer To-do-Liste und gehört zu den Aspekten, an denen wir kontinuierlich arbeiten (und weiter arbeiten werden).

Security-Taskforce

Um die höchsten Sicherheitsstandards für die Linchpin Intranet Suite (und die Linchpin-Apps im Allgemeinen) zu gewährleisten, haben wir intern einige Security-Champions auserkoren. Die Security-Champions sind Mitarbeitende aus unterschiedlichen Technologiebereichen, die sich gezielt mit dem Thema Security beschäftigen, Sicherheitsanalysen durchführen, Security-Audits koordinieren und sich in regelmäßigen Abständen über sichere Software austauschen.

Unsere Security Champions sorgen dafür, dass unser Social Intranet immer sicher bleibt.

Eines der ersten Themen, mit dem sich die Security-Champions beschäftigt haben, war die Confluence-OGNL-Lücke, die potenziell Angriffe auf Server- und Data-Center-Instanzen ermöglicht hatte. Diese wollten und mussten wir verstehen, um einschätzen zu können, ob unser Linchpin-Social-Intranet ebenfalls betroffen war. Die guten Neuigkeiten kamen rasch: Linchpin war von der OGNL-Lücke nicht betroffen!

Stetige Weiterbildungen

Da wir natürlich nicht allwissend sind (Verratet es aber bitte niemandem!), bilden wir uns stetig zum Thema Security weiter. So beschäftigen sich unsere Teammitglieder zum Beispiel mit ethischem Hacking und in diesem Rahmen auch mit dem Penetration-Testing. Parallel dazu besuchen wir viele Konferenzen, die sich dem Thema Sicherheit widmen. So haben wir zum Beispiel an der secIT specials-Konferenz sowie am Black Hat Europe-Kongress teilgenommen. Wir evaluieren außerdem unterschiedliche Softwarepakete, die uns beim Security-Testing helfen sollen.

Auf eine sichere Zukunft!

Analog dazu bauen wir eine interne Wissensbasis auf, die Anleitungen bietet, wie sich Sicherheitslücken und Angriffsvektoren effizienter finden und besser verstehen lassen. Die Knowledge Base soll auch dabei helfen, in Zukunft möglichst viele Lücken schon beim Entwickeln im Hinterkopf zu haben und sie entsprechend gar nicht erst in die Apps "einzubauen”. Außerdem halten wir dort fest, wie geeignete Tests durchgeführt werden können.

Zusätzlich erweitern wir aktuell unseren Weiterbildungskatalog und das Onboarding neuer Entwicklerinnen und Entwickler um Security-Themen. Damit wollen wir erreichen, dass die bisher gesammelten Erfahrungen nachhaltig archiviert werden und auch zukünftigen Security-Interessierten helfen, in diesem Thema besser zu werden.

Wir bemühen uns, unser Social Intranet immer sicherer zu machen und auch zukünftig "sicherheitsbewusster" zu programmieren.

ISO 27001

Schon seit einer Weile sind wir dabei, die Kriterien der ISO-27001-Zertifizierung umzusetzen. Die internationale Norm ISO 20071 regelt alles, was mit Informationssicherheit in Unternehmen zu tun hat. Wir nutzen die Richtlinie nicht nur für die Zertifizierung, sondern auch, um unsere Produkte generell sicherer zu machen (beides geht hier quasi Hand in Hand).

Dabei wurden bereits einige Anforderungen und Maßnahmen erarbeitet, die jetzt von den jeweiligen Produkt-Teams für ihre Lösungen zu prüfen sind. Und so ist auch unser Linchpin-Team dabei, jene Maßnahmen für die Linchpin-Apps umzusetzen und zu checken. Unser Fokus liegt aktuell darauf, weitere Maßnahmen zur sicheren Entwicklung auszuarbeiten und das Thema (sichere Entwicklung) weiter voranzutreiben.

Unsere Teilnahme an Atlassians BugBounty-Programm

Neben eigenen Analysen, die wir im Rahmen der Arbeit der Security-Champions und des Security-Testings durchführen, nehmen wir mit unseren Apps auch am BugBounty-Programm von Atlassian teil. Dort suchen unabhängige Tester und Testerinnen, ethische Hacker und Hackerinnen und weitere Fachleute nach potenziellen Sicherheitslücken – auch in unseren Apps. Ein frisches Paar Augen ist in solch wichtigen und umfangreichen Bereichen wie Security immer hilfreich und begrüßenswert.

Durch die Teilnahme am Atlassian BugBounty-Programm helfen uns auch Außenstehende, unser Social Intranet sicherer zu machen.

Einige der in den Release Notes erwähnten XSS- oder XXE-Lücken wurden zum Beispiel durch die BugBounty-Researcher gefunden. Für ihre Arbeit erhalten die Researcher natürlich ein Preisgeld.

Die Teilnahme an diesem Programm ist uns wichtig, da wir dadurch in die Lage versetzt werden, etwas über uns noch unbekannte Angriffsvektoren zu erfahren, sie zu studieren und damit noch besser dafür zu sorgen, dass Linchpin sicher bleibt.

Aktuell sind folgende Linchpin-Apps Teil des BugBounty-Programms:

  • Linchpin Essentials
  • Linchpin Microblog
  • Linchpin Events
  • Linchpin User Profiles
  • Linchpin Enterprise News
  • Language Manager
  • Linchpin Launchpad
  • Collapsible Admin Menu
  • Terms of Use

Die Social-Intranet-Gesamtpaket Linchpin Intranet Suite befindet sich bereits in den Startlöchern und die Einreichung in das BugBounty-Programm soll entsprechend bald folgen.

Steigende Anforderungen

Atlassian schreitet mit dem Thema Security voran und so steigen nach und nach die Anforderungen des BugBounty-Programms. So hat man zum Beispiel im On-Premise-Bereich 90 Tage Zeit, um eine kritische Sicherheitslücke zu schließen, im Cloud-Umfeld dagegen etwa vier Wochen. Zusätzlich dazu sollen ab Februar im Rahmen der jährlichen Data-Center-Reviews auch die Bibliotheken, die in den Apps zum Einsatz kommen, auf ihre Sicherheit geprüft werden.

Wir können mit Stolz berichten, dass wir den steigernden Anforderungen zuversichtlich entgegenblicken, in dieser Hinsicht Anpassungsfähigkeit besitzen und bereits auf die Überprüfung der Bibliotheken vorbereitet sind.

Das Thema Security hat die höchste Priorität

Wann immer ein neuer Angriffsvektor bekannt wird, prüfen wir Linchpin umgehend auf Herz und Nieren. Es ist unsere höchste Priorität, mögliche Sicherheitslücken umgehend zu finden und zu schließen. Dafür pausieren wir dann notfalls auch mal die Arbeit an sonstigen Aufgaben wie Feature- und Performance-Verbesserungen oder der Entwicklung neuer Features. Zwar sind das ebenfalls wichtige Themen, doch letztendlich nicht so wichtig wie die Sicherheit von Linchpin.

Du nutzt die Linchpin Intranet Suite noch gar nicht?

Für alle, die aus Interesse geklickt haben und nicht, weil sie schon Kunden sind, gilt: Die Linchpin Intranet Suite für Confluence Data Center kann jederzeit unverbindlich im Browser getestet werden. Folgt dazu einfach dem Link zu unserer einsatzbereiten Demoinstanz von Linchpin oder erstellt euch direkt kostenfrei eine eigene Testinstanz.

Du siehst deine Zukunft doch eher in den Wolken?

Für die Cloud gibt es Linchpin Hey – das Social Intranet, das euch als Team und Unternehmen deutlich näher zusammenbringt und es euch ermöglicht, auch in Zeiten des dezentralen Arbeitens eine Kultur zu etablieren, in der das soziale Miteinander eine große Rolle spielt. Teste Linchpin Hey jederzeit und kostenlos.

Weiterführende Infos

Die Roadmap der Linchpin Intranet Suite
Die Roadmap für Linchpin Hey
Ein Ansatz, um effizient sichere Software zu entwickeln
Mehr Infos zu ISO 27001