Peter Niederlag, TYPO3-Kernentwickler und Mitglied des Security-Teams, beschreibt in einem heute veröffentlichten Interview die Vorgehensweise bei der Sicherheitsprüfung von Extensions (Review) und dessen Nutzen für Unternehmen und Anwender.

Ausgangspunkt des Interviews ist ein Review-Auftrag der Firma Citeq zur Quailtätsicherung ihrer Extension "civserv". Diesen hat Peter Niederlag zusammen mit Sven Gähle durchgeführt. Im weiteren Verlauf des Gesprächs erklärt Niederlag wie es zu dem Auftrag kam und wie die Überprüfung durchgeführt wurde.

Ein Review sollte laut Niederlag immer in Zusammenarbeit mit dem TYPO3-Security-Team erfolgen. Dabei ist es nicht zwingend notwendig, dass die zum Review in Auftrag gegebene Extension vom Auftraggeber selbst entwickelt wurde. Es können zum Beispiel auch Dritt-Extensions, die für einen Firmeneinsatz vorgesehen sind, zur Überprüfung beauftragt werden. Die Kosten dafür hängen von der Komplexität der Extension ab. Eine kostenlose Überprüfung sämtlicher Extensions, mittlerweile mehr als 2.000, sei laut Niederlag angesichts der Menge nicht durchführbar.

Die Ergebnisse und Anpassungen eines Reviews werden anschließend in einer neuen Version im Extension Repository veröffentlicht. So auch geschehen bei der Überprüfung der Extension civserv, die nun in Version 4.2.5 bereit liegt und eine Sicherheitslücke in vorherigen Versionen schließt.

Laut Niederlag ist die Firma Citeq mit dem Ergebnis sehr zufrieden und würde aus diesem Grund erneut eine Extension zur Überprüfung in Auftrag geben.