Alvorlig sårbarhet berører 300.000 nettbutikker. Kan brukes til å stjele eller slette hele databaser
Magento skal heretter holde tilbake kunngjøring av sikkerhetsoppdateringer til den åpen kildekode-baserte e-handelsplattformen i to uker etter utgivelsen.
Tanken er at produktets kunder på denne måten gis et forsprang, slik at de kan installere feilfiks i før angripere får nyss i hvor sårbarhetene ligger.
Open source-prosjektet bak den utbredte nettbutikkplattformen mottar bidrag fra mer enn 415.000 utviklere.
Bidragene gir både virksomheter, så vel som Magento selv, en mulighet til å forbedre plattformen. Men det at programvarens kildekode er åpen, kan også påvirke sikkerheten.
Det forteller John Stockton, som er senior produktdirektør ved Adobe-eide Magento, som Version2 har snakket med.
– Man kan argumentere for at åpen kildekode er mer eller mindre sikker enn tradisjonell programvare. Mitt syn er at open source faktisk er sikrere, fordi koden gjennomgår så mye oversyn fra brukernes side, sier John Stockton.
Åpen kildekode gir brukerne – og andre – anledning til selv å studere koden for å lete etter sikkerhetsbrister og andre potensielle svakheter.
Stockton håper at dusører for å avdekke feil kan stimulere folk til å rapportere inn sårbarheter til Magento, fremfor å selge opplysningene videre til svindlere.
– Åpen kildekode gir større sjanse for at brukerne finner og identifiserer sikkerhetsmessige svakheter ved programvaren. Det samme gjør seg gjeldende for dusørkonseptet vårt, Bug Bounty Program, forteller John Stockton.
Forsprang til nettbutikkeiere
17-åringer har funnet alvorlige feil i en rekke norske nettbutikker
En av sikkerhetsutfordringene til Magento har vært når virksomheter kjører utdaterte versjoner av løsningen.
En av årsakene til at dette har skapt problemer, er at de nyeste sikkerhetsoppdateringene til programvaren er utgitt i åpen kildekode. Slik blir offentligheten informert om hva de aktuelle sikkerhetsfiksene faktisk har rettet opp.
Dette har ondsinnede aktører kunnet bruke som ledetråder til å avdekke sikkerhetssvikt i eldre utgaver av programvaren.
– Det er alltid en utfordring når du fikser et problem og så kommuniserer ut til folk hva det er du har rettet. Det kan gi hackere et hint om hva de skal lete etter, hvis de finner en nettbutikk som kjører på gammel versjon av programvaren, sier Stockton.
Med denne bakgrunn har selskapet nå valgt å gi nettbutikkeierne et forsprang på to uker, slik at de kan installere sikkerhetsoppdateringer, før rettelsene blir gjort tilgjengelig i den åpne kildekoden.
Videre påpeker han at det stadig er viktig å oppdatere programvaren, så raskt det lar seg gjøre.
– Det finnes de som bygger en nettbutikk med Magento, og som betrakter det som en engangsjobb, hvor de ikke behøver å gjøre noe mer etter lansering, sier Stockton.
Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.