Als allererstes möchte ich vorausschicken, dass das TYPO3 Security Team im großen und ganzen einen super Job macht und das wir alle von dieser unsichtbaren Arbeit profitieren. Nun hat aber die letzte Mail das Fass zum Überlaufen gebracht. Ich möchte das Thema nach reichlicher Überlegung offenlegen und freue mich über das eine oder andere Feedback von euch.
Ich habe in der Vergangenheit einige Extensions für die Community erstellt und diese kostenlos zur Verfügung gestellt. Die Erweiterung powermail erfreut sich nach wie vor großer Beliebtheit und auch wenn man nach einiger Zeit seinen eigenen Code nicht mehr sehen kann, war ich doch ein wenig stolz dass sich so viele Anwender gefunden haben.
Blick in die Vergangenheit
Mit der Version 1.5.4 hatte sich seiner Zeit eine kritische Sicherheitslücke eingeschlichen, die von einem User gefunden und dem Security Team gemeldet wurde. Einige Wochen darauf bekommt der Extension Entwickler eine Mail: Der Security Workflow schreibt vor, dass man, bis man einen finalen Review vom Sec Team bekommen hat, keine weiteren Versionen der betroffenen Extension veröffentlichen soll. An sich ein gutes Vorgehen um die Qualität des Produktes zu sichern und zu verbessern. Damals warteten wir 7 Monate (!) bis wir ein finales Ergebnis bekommen haben. Das ist eine lange Zeit, in der die komplette Weiterentwicklung lahm liegt. Viele Anwender haben uns immer wieder gefragt, warum wir nicht wenigstens die offensichtlichsten Bugs fixen könnten, jedoch mussten wir ausweichend antworten, da der Security Workflow desweiteren vorschreibt, man solle Stillschweigen über das Problem bewahren. Warum es zu der Verzögerung kam, kann ich nur vermuten – sicherlich haben die Jungs alle Hände voll zu tun und je größer eine Erweiterung ist, desto aufwändiger wird ein kompletter Check.
Blick auf das aktuelle Problem
Andy Grunwald, einer der drei Hauptentwickler von powermail, hat vor kurzem ein eher kleines Problem mit dem neuen Backendmodul entdeckt, dass wir zusammen schnell geschlossen haben. Der Community stand innerhalb weniger Tage eine neue Version zur Verfügung die auch noch zusätzliche Bugs gefixt hat. Weil wir jedoch die älteren Versionen vom künftigen Download aus dem TER ausschließen wollten, hat sich Andy Mitte März wie verlangt beim Security Team gemeldet und auf das Problem hingewiesen.
Heute habe ich eine E-Mail von Marcus Krause erhalten, in der mir unterstellt wird, ich hätte das Problem vertuschen wollen sowie der Androhung der Community zu raten Abstand von powermail zu nehmen:
Dear Alexander Kellner, this e-mail is sent to you on behalf of the TYPO3 Security Team. we have been informed that you have fixed two security issues in extension powermail with version 1.6.3 released on March 21. This happened without informing our team beforehand. With this behaviour you're putting users of your extension at risk to get a compromised installation. You're regularily reporting vulnerabilities in extensions. Therefore I assume you are aware of impacts of vulnerabilities and their exploitation. If this happens again, we might publish a warning recommending users to not use powermail any longer! This is obviously something we'd like to avoid. Not following a security workflow (like publishing secret security fixes) is worse than some security bulletins from time to time from the users' point of view. Besides this, it seems appropriate to review code contributed from powermail developers before being bundled in a new extension version. We will publish a security bulletin on these fixed vulnerabilities. We hereby ask you to comment on this mail! Regards, Marcus Krause Member of the TYPO3 Security Team
Dieses Vorgehen finde ich ziemlich krass. Was heißt das für andere Entwickler wenn Sie ein Problem in der Vergangenheit gefixt haben? Sie dürfen dem Security Team nicht bescheid geben, weil sie sonst Angst haben müssen, dass Ihre Erweiterung geächtet wird? Erreicht man damit nicht das genaue Gegenteil? Warum sollte man sich nun überhaupt noch melden?
Ich habe wirklich sehr viel Zeit und Herz in die Entwicklung meiner Erweiterungen gesteckt. Sollte es zu der Androhung aus der Mail kommen, werde ich meine Erweiterungen zurückziehen, auch wenn ich das vermeiden will.
Liege ich völlig falsch? Freue mich auf Feedback hierzu!
Gruß, Alex