:

Szerző: Hlács Ferenc

2019. május 3. 10:43

Minden Firefox kiegészítő kódját átnézi a Mozilla

Ha a fejlesztő nem biztosít hozzáférést a forráskódhoz, kiegészítőjét a szervezet törli. A frissített biztonsági irányelvekhez idén június közepéig kell igazodni.

Kénytelenek lesznek nyílt lapokkal játszani a Firefox kiegészítők fejlesztői, a Mozilla ugyanis bejelentette, hamarosan betiltja a nem szabadon olvasható kódot tartalmazó kiegészítőket. A szervezet erre vonatkozó intézkedései nem csak az újonnan közzétett szoftverekre vonatkoznak majd, de visszamenőleg is, így azokat a már a régóta elérhető kiegészítőket is érinti, amelyek nem felelnek meg az újonnan közzétett kritériumoknak.

Az érintett fejlesztőknek beépülőiket június 10-ig van idejük átláthatóvá tenni a Mozilla számára, a határidőt követően a feltételeket nem teljesítő kiegészítőket a szervezet törli. Ennek megfelelően a kijelölt időpontig a fejlesztők kötelesek a Mozilla számára olvasható formában elérhetővé tenni az addonok forráskódját, a build folyamathoz szükséges útmutatással egyetemben. A kódot a vállalat ellenőrzi, ugyanakkor irányelvei között arra is kitér, azt semmilyen formában nem osztja meg más felekkel. A kiegészítőkben nem csak a rejtett kód használatát tiltja meg a szervezet, de az olyan kódét is, amely elfedni hivatott az app bizonyos funkcióit. Ha a fejlesztők külső forrásokat is bevetnek a kiegészítőnél, az erre vonatkozó kódnak is világosan érthetőnek kell lennie.

A lépést a Mozilla a szigorított biztonsági követelményekkel indokolja, amelyekre a kiegészítőkre vonatkozó frissített irányelvei között több pontban is kitér. Ilyen például, hogy a fejlesztőknek a felhasználók felé is egyértelműen kommunikálniuk kell, hogy az adott kiegészítő milyen adatokat gyűjt be, használ és tárol - továbbá törekedniük kell rá, hogy a a lehető legkevesebb információt gyűjtsék be a felhasználókról. A kiegészítő alapfunkcionalitásához feltétlenül szükséges adatokon felül pedig a Mozilla nem is engedi az információgyűjtést.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A már megszerzett adatokkal a fejlesztőknek különösen körültekintően kell bánniuk, azt nem oszthatják meg sem weboldalakkal, sem más folyamatokkal, illetve kötelezően HTTPS-t kell használniuk az olyan érzékeny műveleteknél, mint a jelszavak vagy tokenek továbbítása. Természetesen a privát böngészőablakok esetében a kiegészítők nem tárolhatnak adatokat. A fentiekhez a monetizációs mechanizmusoknak is szigorúan igazodniuk kell, egy a különböző felületekre hirdetéseket illesztőnek kiegészítő például egyértelműen jeleznie kell, hogy mely tartalmak származnak tőle. A Mozilla továbbra is szigorúan tiltja a kriptobányász, illetve hasonló megoldásokat a kiegészítőkben.

A frissített irányelvek teljes listájáért érdemes felkeresni a Mozilla kapcsolódó oldalát, ahol a szervezet részletesen leírja a kiegészítőkkel kapcsolatos követelményeit. Az új kritériumokhoz tehát idén június 10-ig van lehetőség igazodni, ezt követően a szervezet minden, a feltételeknek nem megfelelő kiegészítőt töröl platformjáról - előtte ugyanakkor ígérete szerint igyekszik majd figyelmeztetni az érintetteket, hogy legyen idejük elvégezni a megfelelő módosításokat.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról