il y a déjà tout ce qu’il faut, ajoutons un peu de ressources au bout du canal d’alerte security (en bref: qui est « au bout du fil » de: Security Overview · Dolibarr/dolibarr · GitHub, c’est la qu’il faut ajouter des bras qui se chargeraient de créer le bug et surtout de lui affecter le tag security … ensuite il suffit qu’on soit abonné au fil de ces bugs et tout est ok).
éventuellement un tag « security » sur le forum pour pouvoir relayer l’information et ça sera déjà très bien
@pascal_z : peux tu nous faire une capture d’écran et du lien qui ne marche pas chez toi ? car j’ai cliqué sur tous les liens qui semblent fonctionnels …
Je pense que c’est un problème de droits d’accès à la page. Visiblement github renvoie une erreur 404 si l’accès à la page est interdit au lieu de renvoyer une erreur 403.
Merci @erics pour cette initiative car en effet si on connais pas les canaux d’alertes on a pas l’info ! Heureusement que j’essaye de toujours jeter un oeil aux mails de résumé de ce qu’il s’est passé sur le forum et que c’était au somment des sujets populaires !
Je me débrouille un peu près avec les développements mais alors le github j’y comprend rien…
Il y en a pas un qui veut voudrait bien faire un poste spéciale : « Je sais faire mon module dolibarr mais je suis handicapé du github qu’est ce que je dois faire? »
Je mets tout de suite un rappel dans l’agenda pour ce soir pour appliquer le correctif
@agi c’était l’objet de la 2° partie de ma réponse à @atm-maxime mais peut-être que @ksar a les supers-pouvoirs sur le forum : ajouter un « tag » (étiquette) (ou même un « espace ») dédié « alertes sécurité » …
Ainsi les gens qui seraient « au bout du fil » security github pourraient « faire suivre » l’info sur le forum et si ce ne sont pas les mêmes personnes c’est pas grave tant qu’on peut « ajouter » le tag même à posteriori
Question bête, on pourrait pas faire afficher un message ou une alerte dans Dolibarr lorsqu’une mise à jour est disponible dans la version actuellement installée, en particulier quand c’est pour corriger quelque chose d’important ?
@AGI, ton idée me plait bien, c’est vrai qu’un message alerte de sécurité directement dans dolibarr serait une bonne fonctionnalité, notamment pour les utilisateurs qui ne consultent pas ou peu le forum.
C’est ce que fait dokuwiki : un petit bandeau visible uniquement aux administrateurs pour informer d’une nouvelle version avec un lien vers la page qui explique ce qu’il y a dans cette version…
Par contre ce serait bien de faire ressortir comme il faut le message quand ça corrige une faille majeure. Histoire que les personnes comprennent qu’il faut s’activer à l’installer…
Le probleme de ce genre de fonctionnalité est multiple:
Il faut que le serveur dolibarr accède à un serveur externe, ce qui expose l’adresse ip de tous les serveurs utilisant Dolibarr à un tiers. Actuellement c’est une volonté forte qu’il n’y ait pas de point de flicage centralisée. RGPD oblige, on est sensé communiquer sur ce defaut de violation de vie privé. Il faut que ce soit donc sur activation explicite et non par defaut, ce qui en réduit la portée et l’efficacité.
Ceci ne fonctionne pas pour les Dolibarr sécurisés pour lesquels le serveur n’est pas autorisé à accéder par defaut à l’extérieur en dehoes de flux bien déterminé (email, ldap…). Ce qui vu, l’évolution des menaces cyber sera de plus en plus fréquents.
L’information ressort pour les utilisateurs qui ne comprennent pas forcément ce que cela signifie ( une alete sécurité necessite des competences pour etre interprétés) et si c’est limité a un admin, cela necessite qu l’admin se connecte pour avoir l’info. Ce qui n’est pas aussi efficace qu’un canal en push auquel l’admin souscrit.
seul les info connus par l’equipe Dolibarr et sous reserves que quelqu’un alimente le flux seront remontée alors qu’une grande partie des cas sont plutot recensé par les systemes centralisés de failles CVSS.
quelle est la frontiere de criticité entre les remontées a informer et celles inutiles. Seul un vrai admin sait juger de l’importance selon son contexte.
Bref tout cela fera qu’une telle solution apporte autant de problémes que de solutions.
Pour etre vraiment efficace, des alettes de securités doivent se gerer par un flux d’information par push auquel un admin souscrirait (=s’abonne pour etre informé) me semble plus adapté.
Pour cela, on a les resaux sociaux. Si il faut un canal dedié « sécurité », cela peut être un simple poste a faire sur le cms de dolibarr avec un tag, ce qui permet de récupérer un flux rss. Toutefois, les cas de faille zero day critique sont tres rare et le flux serait bien pauvre ce qui inciterait les inscrit a se dêsabonner.
Une solution plus credible serait de creer une issue sur github avec le tag Issue critique. Son defaut (actuel) est qu’on a pas encore de « Push filtrable sur tags » avec github sans outil complémentaire (style outil automation).
Bref l’ideal qd une faille zero day devient connu de l’equipe dolibarr et de la déclarer dans la base internationnale des failles cvss. Cela necessite du temps et un volontaire avec un compte pour cela. Cela permet de voir toutes les failles et fix qui il y a , y compris celle non encore connu de l’équipe de Dolibarr (ce qui est la majorité des reports) alors qu’un flux uniquement alimenté par l’equipe ne fournit qu’une vision très reduite (et en terme de sécurite une vision non exhaustive et souvent pire).
Si vraiment il faut un flux géré par l’equipe dolibarr (sans savoir qui s’y collerait), l’ideal reste la saisie des issue github. Des outils externes permettant d’etre automatiquement informés de l’apparition d’une issue de type sécurité.
Dommage un simple message d’information pour informé qu’une nouvelle version corrigeant une faille dr sécurité me semblait simple, mais tu nous as brillamment démontré que c’était une très mauvaise idée…
Bon du coup j’ai pris 5 min pour aller voir ce que cvss c’était et ce que la base international cvss contenait… Merci tu m’as fait découvrir quelque chose !
Par contre j’arrive pas à comprendre ta remarque sur le faite qu’il y ait des failles non encore connu de l’équipe de Dolibarr, comment c’est possible ? La recherche de failles peut être faite par des personnes extérieur au projet et non mandaté par l’équipe du projet ?
Concernant Github, je veux bien qu’on passe par cet outil et je comprends car c’est un outil majeur visiblement pour le développement communautaire, mais, oui j’aime bien contredire alors je mets un mais… Quand on comprend rien à github comme je l’ai mentionné plus haut on faut comment ? C’est pas le sujet ici mais j’ai voulu regarder une fois github et les issue pour déclarer ou suivre un bug, je savais pas trop quoi regarder et en plus c’était tout en anglais, ça m’as mis des boutons du coup j’ai fini sur le forum…
Je sais que Github c’est pas Dolibarr mais je pense que ça pourrait être une bonne chose d’épingler quelque part une note d’utilisation et de bonne pratique de github avec le projet Dolibarr… (si ça existe déjà, je suis navré d’être passé à côté !!). Mais franchement comment déclarer un bug, comment le suivre, comment proposer une évolution, comment proposer une solution (je veux parler de code directement), comment aussi être informé de nouveaux bug(issue ?), correctifs ou autres vu que tu semble dire que c’est possible via des outils externes.
Une dernière question pour rebondir sur ton message, tu parles du CMS Dolibarr, c’est quoi ? Le site dolibarr.org ?
A la question " la recherche de faille peut ellenetre faite par des personnes exterieures et non mandatées", la reponse est oui et si tu ne menes pas de campagne de bug bounty (ce que fait Dolibarr en privé), c’est meme le circuit de detection de faille qui en devoilera le plus. D’aileurs en recherchant sur dolibarr dans cvss, tu trouveras aussi des failles dans des modules externes alors que leur auteur n’ont jamais mandatés personnes. Personnellement, je consulte ce flux de temps en temps pour les corriger. Ce sont des chercheurs qui trouvent en analysant les SI de leur client qui ont un Dolibarr. Beaucoup ne previennent pas le projet car déclarer sur cvss, c’est deja prevenir la terre entiere.
Oui le CMS dolibarr, c’est l’outil pour faire un site web integre dans Dolibarr et qui est utilisé pour le site Dolibarr.org entre autres. Je sous entendais donc le site web.
Pour les issue sur github, il n’y a rien de particulier a savoir, tu vas sur le site, tu te connecte avec ton compte et tu vas sur le projet Dolibarr , onglet Issue, et tu cliques sur « new issue » pour creer une issue. Tu utilises la barre de recherche pour rechercher une issue. Tout se fait sans connaissance technique. Par contre pour les PR le circuit est moins trivial, il y a cette FAQ: FAQ Get,update GIT project sources - Dolibarr ERP CRM Wiki
On a déjà ça @eldy c’est ce que j’ai indiqué un peu plus haut avec le canal security sur github et le tag security sur les issues github … reste que dans le cas présent le tag n’a pas été utilisé. D’ou mon message en réponse à maxime:
il y a déjà tout ce qu’il faut, ajoutons un peu de ressources au bout du canal d’alerte security (en bref: qui est « au bout du fil » de: Security Overview · Dolibarr/dolibarr · GitHub , c’est la qu’il faut ajouter des bras qui se chargeraient de créer le bug et surtout de lui affecter le tag security … ensuite il suffit qu’on soit abonné au fil de ces bugs et tout est ok).
Quand je dis « il suffit qu’on soit abonné » → soit l’administrateur direct d’un dolibarr y est abonné et sait gérer l’information et mettre à jour son dolibarr en conséquence, soit un professionnel y est abonné et fait suivre à ses clients, soit un responsable d’un canal « social » (forum, facebook, forum dans une langue x, linkedin etc.) y est abonné et fait suivre l’info sur son canal, peu importe mais la source c’est le code partons donc de la non ?
