Politique de Sécurité

Zabbix suit un processus précis lors du développement de nouvelles versions selon les règles de son cycle de vie et sa politique d'édition des nouvelles versions. Toutes les étapes sont soumises à des normes strictes imposées par Zabbix:

  • Tous les développeurs Zabbix doivent adhérer aux règles de codage
  • Le code Zabbix est examiné par un développeur senior avant d'être fusionné dans la base du code Zabbix
  • Toutes les tâches sont testées par des ingénieurs Qualité
  • Lorsqu'une version majeure de Zabbix est publiée, elle est soumise à un audit de sécurité interne par l'équipe de sécurité de Zabbix.

Bien que le processus de développement soit conçu pour éliminer toute possibilité de problème de sécurité, il est toujours possible que de nouvelles vulnérabilités soient découvertes. Zabbix traite les problèmes de sécurité dans les versions maintenues comme une priorité élevée. Veuillez noter que Zabbix ne résout pas les problèmes de sécurité dans les versions qui ne sont plus prises en charge. Dans le cas où cela vous serait nécessaire - vous pouvez souscrire un développement à façon facturé à l'heure

Politique de publication

Chez Zabbix, nous utilisons le terme «publication responsable», ce qui signifie que nous avons une politique de publication des problèmes de sécurité découverts, mais seulement après correction chez nos clients ayant un contrat de support.

Nous apprécions, lorsque vous signalez un problème de sécurité, le respect de ces mêmes directives et le partage des détails uniquement avec l'équipe de sécurité Zabbix.

Avant de remonter un problème:

Assurez-vous que le problème que vous soumettez n'est pas lié à la configuration du serveur, aux scripts et utilitaires tiers. Afin d'éviter tout problème éventuel avec la configuration du serveur, nous conseillons aux utilisateurs de Zabbix de lire Les meilleures pratiques pour sécuriser Zabbix.

Comment remonter un problème de sécurité ?

Créez un ticket dans la section Tickets de sécurité Zabbix (ZBXSEC) sur notre traqueur de bugs public qui décrit le problème (et une solution proposée si possible) en détail. De cette façon, nous pouvons nous assurer que seuls l'équipe de sécurité de Zabbix et le créateur du ticket ont accès au dossier.

Les informations suivantes seront utiles pour l'équipe de sécurité Zabbix:

  • Date et heure auxquelles vous avez identifié le défaut de sécurité.
  • Versions Zabbix affectées
  • Type de problème de sécurité remonté, cad : XSS, CSRF, SQLi, RCE.
  • Composants affectés, cad : Interface, Serveur, Agent, API.
  • Ajoutez tous les détails que vous pouvez fournir, par exemple captures d'écran, journaux de transactions http (s), exploits POC ... (veuillez ne rien partager via des services de partage de fichiers non authentifiés et évitez de partager des informations sensibles, car si l'équipe de sécurité Zabbix décide que ce problème ne correspond pas à la catégorie sécurité, il pourrait être déplacé vers le projet ZBX et sera visible par tous les utilisateurs).
  • Les instructions étape par étape pour reproduire le problème si il ne peut pas être facilement identifiable.

Comment Zabbix traite ensuite les problèmes de sécurité signalés:

  1. L'équipe de sécurité de Zabbix examine le problème et évalue son impact potentiel.
  2. S'il s'avère que le problème n'est pas lié à la sécurité, il sera déplacé vers le projet ZBX.
  3. L'équipe de sécurité Zabbix traitera le problème pour fournir une solution et conservera tous les détails jusqu'à la publication de la prochaine version de Zabbix.
  4. De nouveaux packages sont créés et mis à disposition pour téléchargement sur https://zabbix.com/download
  5. Zabbix demande un identifiant CVE pour ce problème de sécurité.
  6. Les clients disposant d'un contrats d'assistance reçoivent un e-mail indiquant une période pendant laquelle il est possible de mettre à jour avant que le problème ne soit connu du public.
  7. Une annonce publique pour la communauté est publiée.

Public Zabbix bug bounty program on HackerOne

Zabbix has partnered with HackerOne to open a public bug bounty program, where ethical hackers can look for potential security vulnerabilities and get rewarded for found and validated issues. Zabbix public bug bounty program enables hackers to contribute to the security of the product by discovering potential security vulnerabilities in different Zabbix components, such as Zabbix frontend, server, proxy, agent, API and other Zabbix processes. The program offers up to $3,000 as a reward for discovering and reporting a bug. More information can be found in the Zabbix bug bounty page: https://hackerone.com/zabbix