禅道开源版12.4的安全漏洞
2020-08-26 08:57:48
羽豪
  • 访问次数: 5
  • 注册日期: 2020-08-20
  • 最后登录: 2020-08-28
  • 我的积分: 80
  • 门派等级: 无门派

最近准备使用禅道,于是首先进行了安全性的扫描,AppScan发现了352个安全性漏洞或建议,其中高危安全漏洞108个(等级为高、中)。

请问禅道产品是否存在这些漏洞?是否打算修复这些 等级为高中的安全高危的安全漏洞?如果修复,打算何时发布?

附件我们的测试报告,请贵公司查收。

测试版本:开源版ZenTaoPMS.12.4.stable.win64

操作系统:windows10(1909)

测试工具:AppScan10.0.0


沙发
2020-08-26 09:16:18
禅道-Bee
  • 访问次数: 3153
  • 注册日期: 2017-02-22
  • 最后登录: 2020-09-18
  • 我的积分: 33244
  • 门派等级: 幽灵 等级5 天魔
首先谢谢您的反馈,这儿我们记录下问题,需要相关同事安排计划进行确认的。我们提高下优先级。
板凳
2020-08-26 09:29:08
羽豪
  • 访问次数: 5
  • 注册日期: 2020-08-20
  • 最后登录: 2020-08-28
  • 我的积分: 80
  • 门派等级: 无门派
请问在产品发布前,贵公司是否进行安全性测试?测试使用什么什么工具?对于发现的安全性漏洞,什么级别的必须处理,什么级别的才允许通过能够发布?
#3
2020-08-26 13:22:08 回复 #2
石洋洋
  • 访问次数: 6076
  • 注册日期: 2011-04-06
  • 最后登录: 2020-09-08
  • 我的积分: 95012
  • 门派等级: 幽灵 等级6 修罗

1、发布前会做一些相应的测试,找安全工作做专门的测试这个没有做过,禅道每年发布的版本会很多每个版本都请安全公司做相应的安全扫描也不现实。

2、禅道的用户量很大,对于收到的问题我们都会进行分类整理录入到系统中,对于影响功能流程类的bug肯定是第一时间进行修复的,有替代方案的会在后续版本中修复发布。对于安全漏洞会提交到研发部门安排相应的计划进行处理。处理后会在新版本的发布公告中列出,可以关注一下 https://www.zentao.net/download.html

3、如果贵公司有相应的安全工具可以提供一下。

石洋洋 最后编辑, 2020-08-26 13:24:07
#4
2020-08-28 09:05:29
羽豪
  • 访问次数: 5
  • 注册日期: 2020-08-20
  • 最后登录: 2020-08-28
  • 我的积分: 80
  • 门派等级: 无门派

安全性测试的工具是AppScan10.0.0,可以自行百度一下

建议贵公司在产品发布前,增加使用该工具进行安全性测试的环节,就如你说的,毕竟禅道的用户量很大

#5
2020-08-28 17:11:28
禅道-Bee
  • 访问次数: 3153
  • 注册日期: 2017-02-22
  • 最后登录: 2020-09-18
  • 我的积分: 33244
  • 门派等级: 幽灵 等级5 天魔
谢谢反馈,我们反馈给相关同事。
1/1