Sobre o nome:
Combate a incêndios em terrenos selvagens, o termo "Strike Team" é usado para descrever um conjunto de recursos semelhantes, que são usados para uma finalidade específica (http://en.wikipedia.org/wiki/Strike_Team). O JSST é chamada de equipe de ataque, porque é um time de desenvolvedores e especialistas de segurança encarregados da melhoria e do gerenciamento de segurança no Joomla.
Missões:
1. Investigar e responder às principais vulnerabilidades relatadas.
2. Executar as revisões de código antes do lançamento para identificar novas vulnerabilidades.
3. Fornecer a presença do público para as questões de segurança.
4. Ajudar a comunidade a entender a segurança do Joomla.
(*) Lista atualizada de extensões vulneráveis.
Política de Segurança - Definições
* As vulnerabilidades verificadas só serão anunciadas publicamente após o lançamento, da correção da vulnerabilidade.
* Todos os anúncios irão conter tanta informação quanto possível, mas não conterá passo-a-passo para a vulnerabilidade.
Políticas Públicas - Respostas
Os artigos são escritos sobre o Joomla todo o tempo. Em muitas circunstâncias, esses artigos (mesmo a partir de fontes respeitáveis), contêm uma quantidade significativa de desinformação.
* O JSST permitir-se-á avaliar e analisar os artigos escritos sobre questões de segurança. Se o artigo contém informações válidas sobre uma vulnerabilidade ainda não fixa, iremos pedir a editora para suspender o artigo até que possamos resolver o problema. Se o artigo contém informações inválidas, vamos observar o que é inválido, e pedir ao editor para corrigir ou eliminar o artigo.
* O JSST estará disponível para responder perguntas e validar qualquer artigos sobre segurança relacionado ao Joomla a pedido do editor.
Lançamento da Política de Segurança
* Críticas e vulnerabilidades de alto nível de desencadeamento de um ciclo de liberação imediata.
* Vulnerabilidades moderadas podem desencadear um ciclo de lançamento, dependendo do problema específico.
* Baixa e vulnerabilidades muito baixo (e os moderados, que não desencadear um ciclo de lançamento) será incluído com a versão de manutenção programada seguinte.
* Todas as versões de segurança serão acompanhadas por uma (ou mais) Comunicações de segurança adequadas.
Níveis de Vulnerabilidades
Há dois elementos principais que contribuem para a prioridade de vulnerabilidades ou "nível de ameaça":
Impacto
* Crítica - "0-day" ataques e atentados, onde o controle local está comprometido (permite que invasor assuma o controle sobre o site).
* Alto - ataques de injeção SQL, arquivos remotos incluem ataques, e outros vetores de ataque, onde os dados do site será comprometido.
* Moderado - XSS, escrever violações ACL (edição ou criação de conteúdo, onde não é permitido).
* Baixo - leia violações ACL (leitura de conteúdo, onde não é permitido).
Gravidade
* Muito grave - Crítica de fácil execução. Não depende de nenhuma informação de fora (TRUE 0-ataque dia).
* Grave - Moderadamente fácil de executar. Pode recorrer às informações disponíveis no exterior.
* Moderado - Não é fácil de executar. Pode confiar na informação sensível.
* Baixo - difícil de executar. Depende das informações sensíveis ou exige condições especiais para realizar.
* NOTA: As descrições são apenas diretrizes genéricas. Cada vulnerabilidade será avaliada quanto ao potencial de dano e serão classificados de acordo.
Versões suportadas
* Todas as versões em produção, do Joomla serão acompanhadas de perto pela JSST.
* Atualmente versões ativas incluem:
Joomla 1.0.x
Joomla 1.5.x
Como Ajudar
* Se você encontrar uma possível vulnerabilidade, relate primeiro à JSST. Você pode contatar a equipe através do formulário de contato na Central de Segurança.
* Se você encontrar uma vulnerabilidade relatada (foi descrita anteriormente), em contato com o ASAP JSST (incluar, quando você viu o relatório).
* Você pode fornecer correções para os problemas que você encontra (envie um patch de correção, por email, para a equipe).
* Junte-se à equipe! Devido à natureza sensível da equipe, o seu acesso é restrito. Mas se você acha que poderia ajudar na solucção de problemas, entre em contato com a equipe através do formulário de contato na Central de Segurança.
