IT Sicherheit in ILIAS
Warum ist eine Übersichtsseite
für IT Sicherheit wichtig?
für IT Sicherheit wichtig?
Im Zuge des AP 2C wurde die aktuelle Informationslage zum ILIAS Sicherheitskonzept in den Fokus genommen.
Dabei wurde ersichtlich, dass eine zentrale Übersichtsseite notwendig ist, um den Informationsbedarf der Anspruchsgruppen weitestgehend abzudecken.
Bis zu diesem Zeitpunkt teilten sich die Informationen, die sich auf die Beantwortung von 3 Fragen fokussierten, auf folgende zwei Seiten auf:
Frage 1: Wie ein Sicherheitsproblem melden?
Bitte haben Sie Verständnis dafür, dass Sicherheitsprobleme vertraulich behandelt werden müssen, damit ILIAS-Installationen so sicher wie möglich bleiben, bis das Problem behoben ist.
Bitte befolgen Sie den unten detailliert beschriebenen Prozess. Sie werden von einem Mitglied der ILIAS-Sicherheitsgruppe eine Antwort über die weiteren Schritte erhalten.
Legen Sie keinen Fehler im Bugtracker ab!
1. Schreiben Sie eine E-Mail an security@lists.ilias.de über Ihre Entdeckung, die eine Beschreibung des Problems mit dem Szenario, in dem das Problem auftritt, und eine Beschreibung seiner Auswirkungen enthält. Bitte geben Sie alle notwendigen Schritte an, um das Problem zu reproduzieren. Wir bitten Sie, das Problem erst dann in vollem Umfang zu veröffentlichen, wenn eine Lösung bereitsteht und die neue Version erstellt und allen zur Verfügung gestellt wurde (vollständige Veröffentlichung etwa 1 Woche nach Veröffentlichung der neuen Version).
2. Die Sicherheitsgruppe wird einen Problemlöser zuweisen.
3. Dieser wird sich mit dem Problem befassen und versuchen, es zu reproduzieren.
4. Der Issue Manager wird Sie im Namen des ILIAS e.V. per E-Mail kontaktieren. Wir sind für jede weitere Hilfe/Information dankbar, die Sie während der Analyse und Fehlerbehebung zur Verfügung stellen können.
5. Je nach Schwere und Auswirkung des Problems werden die Entwickler so schnell wie möglich eine neue Version erstellen oder mit der Standard-Roadmap fortfahren.
6. Optional: Wir sind sehr daran interessiert, Ihren Fund und Ihre Unterstützung für das Projekt angemessen zu würdigen. Wenn Sie es wünschen, können wir Ihren Namen und/oder Ihre Institution in unsere Veröffentlichungshinweise aufnehmen. Wir werden Ihren Namen oder den Namen Ihrer Institution nicht ohne Ihre Zustimmung veröffentlichen.
2. Die Sicherheitsgruppe wird einen Problemlöser zuweisen.
3. Dieser wird sich mit dem Problem befassen und versuchen, es zu reproduzieren.
4. Der Issue Manager wird Sie im Namen des ILIAS e.V. per E-Mail kontaktieren. Wir sind für jede weitere Hilfe/Information dankbar, die Sie während der Analyse und Fehlerbehebung zur Verfügung stellen können.
5. Je nach Schwere und Auswirkung des Problems werden die Entwickler so schnell wie möglich eine neue Version erstellen oder mit der Standard-Roadmap fortfahren.
6. Optional: Wir sind sehr daran interessiert, Ihren Fund und Ihre Unterstützung für das Projekt angemessen zu würdigen. Wenn Sie es wünschen, können wir Ihren Namen und/oder Ihre Institution in unsere Veröffentlichungshinweise aufnehmen. Wir werden Ihren Namen oder den Namen Ihrer Institution nicht ohne Ihre Zustimmung veröffentlichen.
Frage 2: Wo die Behebung einer Sicherheitslücke veröffentlichen?
Wir freuen uns, wenn zusammen mit dem ersten Bericht auch Lösungen angeboten werden. Bitte beachten Sie jedoch, dass unser Repository auf GitHub auch für die Allgemeinheit zugänglich ist. Alle Commits, Commit-Nachrichten und Pull Requests können von jedermann eingesehen werden. Es wird dringend empfohlen, sich mit unserem Security Team in Verbindung zu setzen, um weitere Schritte mit uns zu besprechen.
Frage 3: Wie Benachrichtigungen über Sicherheitsupdates erhalten?
Bitte abonnieren Sie unsere Admin-Mailingliste (ilias-admins@lists.ilias.de), um Benachrichtigungen über Sicherheitsupdates, Updates im Allgemeinen und Ankündigungen für ILIAS-Server-Administratoren zu erhalten.
Tipps
Diese Seite wurde zentral für die offizielle Übersichtsseite www.docu.ilias.de hergestellt.
SIG (Special Interest Group) Recht & E-Learning
Diese SIG ist Anlaufstelle für alle ILIAS-Community-Mitglieder, die sich mit den rechtlichen Aspekten des E-Learning auseinandersetzen wollen/müssen. Dazu zählen Datenschutz, Urheberrecht, Verfahrensverzeichnisse und viele weitere Punkte. Link.
Langfristig soll auf der Übersichtsseite docu.ilias.de ein IT Security Übersichtsobjekt eingerichtet werden, siehe hier.