ERPNext Security Initiative [german]

Hallo zusammen,

wir haben in der Telegram-Gruppe vor ein paar Wochen über Sicherheitsthemen diskutiert. Jetzt wollen wir aktiv etwas tun!

Unser Partner Resilient Tech hat es sich zur Aufgabe gemacht, aktiv Sicherheitslücken in ERPNext zu suchen und zu schließen ('(Don't) get pwned' by Shadrak Gurupnoor & Sagar Vora | ERPNext Conference 2021 - YouTube). Wir wollen Resilient Tech dabei unterstützen, ERPNext sicherer zu machen. Dafür wollen wir die Finanzierung eines Budgets von 30 bis 80 Stunden Arbeit an Sicherheitsthemen organisieren. Resilient Tech bietet uns einen vergünstigten Stundensatz von 53 € an, den wir 1-zu-1 weiterreichen. Die ALYF GmbH finanziert mit 530 € die ersten 10 Stunden. Wer sich beteiligen möchte, kann dies gerne hier tun. (Für Kunden von ALYF können wir das alternativ auch über die monatliche Rechnung abbilden.)

Vielen Dank im Voraus für eure Unterstützung!

Was genau passiert mit dem Geld?

  • Wir leiten alle Beiträge 1-zu-1 an Resilient Tech weiter
  • Resilient Tech finanziert damit Arbeitszeit, in der sie zum Beispiel
    • aktiv nach bisher unbekannten Sicherheitslücken suchen
    • bekannte Sicherheitslücken beheben
    • allgemein die Sicherheitsarchitektur verbessern und Best Practices umsetzen

Das soll nicht bedeuten, dass Frappe Technlogies selbst nichts für die Sicherheit tut – auch dort wird tatkräftig and Sicherheitsaspekten gearbeitet. Das hier soll aber eine zusätzliche Initiative aus der Community sein, um die Sicherheit noch weiter zu verbessern.

10 Likes

Stand jetzt haben sechs Unternehmen zusammen 55 Stunden finanziert und die Arbeiten laufen bereits auf Hochtouren. :tada:

25 Stunden sind noch zu haben!

Unterstützer (alphabetisch):

  • ALYF GmbH
  • axessio GmbH
  • Gallehr Sustainable Risk Management GmbH
  • ibb testing gmbh
  • noventive Managementgesellschaft mbH
  • Royal Software GmbH
6 Likes

Tolle Initiative @rmeyer

Finanzierung von Frappe ist ebenfalls verfügbar (wir haben Sagar Vora in der Vergangenheit finanziert). Informieren Sie uns bitte.

(via google translate).

3 Likes

Das Budget wurde vollständig aufgebraucht und an Resilient Tech ausgezahlt. Es freut mich zu berichten, das wir fünf Sicherheitslücken im Frappe Framework und darauf aufbauenden Apps wie ERPNext beheben konnten:

Anzahl Schwere Versionen
1 Kritisch 13, 14, 15 (develop)
2 Schwer 15 (develop)
2 Mittel 13, 14, 15 (develop)

Eine der Lücken wurde im Rahmen unserer Initiative gefunden und behoben, die anderen waren Resilient Tech bereits bekannt und konnten nun im Rahmen der Initiative geschlossen werden.

Frappe hat sich außerdem bereiterklärt, ein laufendes Budget für Resilient Tech zur Verfügung zu stellen, sodass die Sicherheitsarbeiten unvermindert weitergehen.

Um von der kontinuierlich verbesserten Sicherheit zu profitieren, ist es immer ratsam, zeitnah auf das jeweils aktuelle Minor-Release zu updaten.

8 Likes

Ich hab das leider erst jetzt gelesen, aber tolle Aktion, danke!
In welcher Version sind denn die Lücken jeweils behoben worden?

Viele Grüße,
Tobias

Ich habe das absichtlich etwas vage gehalten, da es sich um (der Allgemeinheit) unbekannte Lücken handelt, die das auch bleiben sollen - zumindest solange noch viele Systeme auf anfälligen Versionen laufen.

Allgemein ist es sinnvoll, immer nah an den aktuellen Releases zu bleiben, da das ein kontinuierlicher Prozess ist. Wenn heute eine neue Schwachstelle entdeckt wird, ist die logischerweise frühestens im nächsten Release behoben. Daher bitte regelmäßig Updates einspielen.

Super, Danke Dir.
Jedoch ist das so eine Sache mit den neusten Version und Updates, die haben leider ganz viele Bugs und Funktionsänderungen drin, die mehr Probleme bereiten als beheben.

Es ist kein Problem, eine Version hinter der aktuellen Hauptversion zu bleiben. Im Moment ist zum Beispiel 14 die aktuelle Hauptversion. Ich kann einfach auf das neueste Version-13-Release upgraden und bekomme damit die verbesserte Sicherheit und andere Bugfixes, jedoch nicht die neuen Funktionen von Version 14.

die haben leider ganz viele Bugs und Funktionsänderungen drin, die mehr Probleme bereiten als beheben

Nahezu alle Änderungen an Version 13 sind tatsächlich Bugfixes – das heißt bestehende Bugs werden behoben. Es kann natürlich mal passieren, dass du dich schon mit einem Problem arrangiert hast, dass des einen Problem des anderen Wunsch ist, oder, dass durch das Beheben des einen Fehlers versehentlich ein anderer verursacht wird. Daher sollte man ein Release testen, bevor man den ganzen Betrieb umstellt.