Das TYPO3-Sicherheitsteam hat auf typo3.org eine Policy veröffentlicht, die sich um Sicherheit im Zusammenhang mit Extensions dreht. Konkret geht es um Abläufe bei der Nutzung oder der Entwicklung einer Extension, aber auch um das Melden einer Sicherheitslücke.

Mit der Veröffentlichung der TYPO3 Extension Security Policy versucht das TYPO3-Sicherheitsteam, Extensionnutzer und -entwickler für das Thema Sicherheit zu sensiblisieren. Nutzer werden beispielsweise darauf hingewiesen, dass auch solche Extensions Sicherheitslücken haben können, von denen es bisher nicht bekannt ist. Das gilt beispielsweise, wenn dem Sicherheitsteam eine oder mehrere Sicherheitslücken in einer Extension zwar bereits gemeldet wurden, diese aber noch nicht publik gemacht worden sind.

Um über Sicherheitslücken und neue Versionen von Extensions oder TYPO3 regelmäßig informiert zu sein, wird in der Policy empfohlen, die TYPO3-Announce-Mailingliste zu abonnieren. Diese "Low-Traffic"-Liste gilt als wichtigste Mailingliste, da über sie in unregelmäßigen Abständen wichtige Informationen veröffentlicht werden.

Schärfere Regeln für Entwickler

Für Entwickler wurde das Reglement bei der Entwicklung von Extensions in Hinsicht auf die Sicherheit verschärft: Wird eine Sicherheitslücke in einer Extension festgestellt, muss der Entwickler der Erweiterung in einem bestimmten Zeitraum mit dem TYPO3-Sicherheitsteam Kontakt aufnehmen und diesen Fehler sowie eventuelle weitere in der Extension beheben.
Eine Missachtung dieser Aufforderung des Sicherheitsteams hat die Deaktivierung der Extension im Repository zur Folge.

Sind die Fehler in der Extension behoben, reicht der Entwickler diese als einzelnen Patch und als t3x.-Datei beim TYPO3-Sicherheitsteam zur Prüfung ein. Zusätzliche Informationen bietet hier außerdem das Security Cookbook.

Melden von Sicherheitslücken

Auch für das Melden von Sicherheitslücken wurde ein fester Ablauf festgelegt. So soll man eine vermeintliche Sicherheitslücke nicht dem Entwickler selbst, sondern zuerst dem Sicherheitsteam melden. Eine gefundene Sicherheitslücke soll man so detailliert wie möglich beschreiben und an security@typo3.org senden. Das Sicherheitsteam wird dann mit dem Entwickler Kontakt aufnehmen sowie dem Meldenden innerhalb von zwei Werktagen antworten.

Benutzer oder Entwickler einer Extension haben übrigens die Möglichkeit, diese mittels einer Spende auf Sicherheitslücken überprüfen zu lassen. Dazu sind Interessierte aufgerufen, mit dem Sicherheitsteam Kontakt aufzunehmen.

Die hier beschriebenen Richtlinien sind nur ein Auszug des kompletten Dokuments, das auf den Seiten des Sicherheitsteams zu finden ist.