wir haben in der Telegram-Gruppe vor ein paar Wochen über Sicherheitsthemen diskutiert. Jetzt wollen wir aktiv etwas tun!
Unser Partner Resilient Tech hat es sich zur Aufgabe gemacht, aktiv Sicherheitslücken in ERPNext zu suchen und zu schließen (https://www.youtube.com/watch?v=MLvcR8uGJws). Wir wollen Resilient Tech dabei unterstützen, ERPNext sicherer zu machen. Dafür wollen wir die Finanzierung eines Budgets von 30 bis 80 Stunden Arbeit an Sicherheitsthemen organisieren. Resilient Tech bietet uns einen vergünstigten Stundensatz von 53 € an, den wir 1-zu-1 weiterreichen. Die ALYF GmbH finanziert mit 530 € die ersten 10 Stunden. Wer sich beteiligen möchte, kann dies gerne hier tun. (Für Kunden von ALYF können wir das alternativ auch über die monatliche Rechnung abbilden.)
Vielen Dank im Voraus für eure Unterstützung!
Was genau passiert mit dem Geld?
Wir leiten alle Beiträge 1-zu-1 an Resilient Tech weiter
Resilient Tech finanziert damit Arbeitszeit, in der sie zum Beispiel
aktiv nach bisher unbekannten Sicherheitslücken suchen
bekannte Sicherheitslücken beheben
allgemein die Sicherheitsarchitektur verbessern und Best Practices umsetzen
Das soll nicht bedeuten, dass Frappe Technlogies selbst nichts für die Sicherheit tut – auch dort wird tatkräftig and Sicherheitsaspekten gearbeitet. Das hier soll aber eine zusätzliche Initiative aus der Community sein, um die Sicherheit noch weiter zu verbessern.
Das Budget wurde vollständig aufgebraucht und an Resilient Tech ausgezahlt. Es freut mich zu berichten, das wir fünf Sicherheitslücken im Frappe Framework und darauf aufbauenden Apps wie ERPNext beheben konnten:
Anzahl
Schwere
Versionen
1
Kritisch
13, 14, 15 (develop)
2
Schwer
15 (develop)
2
Mittel
13, 14, 15 (develop)
Eine der Lücken wurde im Rahmen unserer Initiative gefunden und behoben, die anderen waren Resilient Tech bereits bekannt und konnten nun im Rahmen der Initiative geschlossen werden.
Frappe hat sich außerdem bereiterklärt, ein laufendes Budget für Resilient Tech zur Verfügung zu stellen, sodass die Sicherheitsarbeiten unvermindert weitergehen.
Um von der kontinuierlich verbesserten Sicherheit zu profitieren, ist es immer ratsam, zeitnah auf das jeweils aktuelle Minor-Release zu updaten.
Ich habe das absichtlich etwas vage gehalten, da es sich um (der Allgemeinheit) unbekannte Lücken handelt, die das auch bleiben sollen - zumindest solange noch viele Systeme auf anfälligen Versionen laufen.
Allgemein ist es sinnvoll, immer nah an den aktuellen Releases zu bleiben, da das ein kontinuierlicher Prozess ist. Wenn heute eine neue Schwachstelle entdeckt wird, ist die logischerweise frühestens im nächsten Release behoben. Daher bitte regelmäßig Updates einspielen.
Super, Danke Dir.
Jedoch ist das so eine Sache mit den neusten Version und Updates, die haben leider ganz viele Bugs und Funktionsänderungen drin, die mehr Probleme bereiten als beheben.
Es ist kein Problem, eine Version hinter der aktuellen Hauptversion zu bleiben. Im Moment ist zum Beispiel 14 die aktuelle Hauptversion. Ich kann einfach auf das neueste Version-13-Release upgraden und bekomme damit die verbesserte Sicherheit und andere Bugfixes, jedoch nicht die neuen Funktionen von Version 14.
die haben leider ganz viele Bugs und Funktionsänderungen drin, die mehr Probleme bereiten als beheben
Nahezu alle Änderungen an Version 13 sind tatsächlich Bugfixes – das heißt bestehende Bugs werden behoben. Es kann natürlich mal passieren, dass du dich schon mit einem Problem arrangiert hast, dass des einen Problem des anderen Wunsch ist, oder, dass durch das Beheben des einen Fehlers versehentlich ein anderer verursacht wird. Daher sollte man ein Release testen, bevor man den ganzen Betrieb umstellt.