Gibt es für Discourse eine Architektur- oder Netzwerkdokumentation? Oder existieren Dokumente, die die Sicherheit von Discourse erläutern? Welche Ports werden verwendet? Welche Dienste? Gibt es Unterlagen, die ein Sicherheitsteam davon überzeugen können, dass Discourse ein sicherer Dienst für die Durchführung vertraulicher Diskussionen ist?
Vielen Dank.
Hey Cristy,
willkommen in der Community.
Hier ist eine Liste von Kunden, die Discourse nutzen. Es gibt einige bekannte Unternehmen, die Discourse vertrauen. Wenn sie Discourse vertrauen, wer bin ich, um das in Frage zu stellen? 
Aus unserer README:
Wir nehmen Sicherheit bei Discourse sehr ernst; unser gesamter Code ist zu 100 % quelloffen und wird von Kollegen geprüft. Bitte lesen Sie unseren Sicherheitsleitfaden, um einen Überblick über die Sicherheitsmaßnahmen in Discourse zu erhalten oder falls Sie ein Sicherheitsproblem melden möchten.
Es ist hilfreich zu wissen, dass es eine große Nutzercommunity gibt, die Discourse nutzt. Aber es erinnert mich an einen Monty-Python-Sketch, in dem sie ein Wohngebäude bauen, das einen Flur mit rotierenden Messern enthält – „Machen Sie sich keine Sorgen, es wird schon gut gehen. Andere haben dasselbe Haus gekauft, und wir haben nicht eine einzige Beschwerde erhalten." Ich frage mich warum.
Ich verstehe die Gesamtarchitektur mit dem Docker-Container, Ruby, PostgreSQL und nur einem standardmäßig freigegebenen Port (80). Allerdings denke ich, dass ich unter den Tausenden von Kunden nicht der Erste sein kann, der sich Sorgen um die Sicherheitsaspekte von Discourse macht.
Hey @cristy, schau dir die Seite an, auf die Gerhard verlinkt hat. Vielleicht interessiert dich auch unsere Security brief | Discourse - Civilized Discussion.
Ich habe den Sicherheitsleitfaden bereits gelesen – und Ihr Engagement für Sicherheit bringt uns schon einen großen Teil des Weges. Allerdings geht er nicht im Detail darauf ein, welche Dienste genau genutzt werden, welche Ports verwendet werden, wie sie verbunden sind, wo Schwachstellen liegen usw. Ich versuche, das selbst herauszufinden, aber da ich Discourse nicht entwickelt habe, ist es leicht möglich, dass ich die gesamte Architektur und mögliche Angriffsstellen im Hinblick auf die allgemeine Sicherheit übersehe. Falls nichts direkt verfügbar ist, werde ich versuchen, die Architektur selbst nachzuvollziehen. Falls jedoch jemand in der Nutzercommunity diese Arbeit bereits geleistet hat, teilen Sie diese bitte.
Nun, wenn Discourse all dies aufdeckt, macht es sich selbst verwundbar, da Hacker dann wissen, wie sie vorgehen müssen.