Доступна ли архитектурная или сетевая схема для Discourse? Или существуют документы, обсуждающие безопасность Discourse? Какие порты используются? Какие службы? Есть ли какие-либо материалы, которые могли бы убедить команду по проверке безопасности в том, что Discourse является безопасным сервисом, подходящим для размещения конфиденциальных обсуждений?
Спасибо.
Привет, Кристи,
Добро пожаловать в сообщество.
Вот список клиентов, которые используют Discourse. Среди них довольно много известных компаний, доверяющих Discourse. Если они доверяют Discourse, кто я такой, чтобы сомневаться 
Из нашего README:
Мы очень серьезно относимся к безопасности в Discourse; весь наш код на 100% с открытым исходным кодом и проходит рецензирование. Пожалуйста, ознакомьтесь с нашим руководством по безопасности, чтобы получить обзор мер безопасности в Discourse, или если вы хотите сообщить об уязвимости.
Полезно знать, что существует большое сообщество пользователей, использующих Discourse. Но это напоминает мне скетч из «Монти Пайтона», где они строят жилой комплекс с коридором, заполненным вращающимися ножами: «Не волнуйтесь, всё будет в порядке. Другие покупали этот же дом, и мы не получили ни одной жалобы». Интересно, почему?
Я понимаю общую архитектуру с Docker-контейнером, Ruby, PostgreSQL и тем, что по умолчанию открыт только один порт (80). Однако, учитывая тысячи клиентов, я не могу быть первым, кто обеспокоен вопросами безопасности, связанными с Discourse.
Привет, @cristy, посмотри на страницу, на которую дал ссылку Герхард. Тебя также может заинтересовать наша Security brief | Discourse - Civilized Discussion.
Ранее я ознакомился с руководством по безопасности, и ваша приверженность этому вопросу уже во многом решает задачу. Однако в нём недостаточно подробно описано, какие именно сервисы используются, какие порты задействованы, как они соединены, где находятся уязвимые места и т. д. Я пытаюсь самостоятельно восполнить эти пробелы, но, поскольку я не разрабатывал Discourse, легко могу упустить важные аспекты архитектуры и возможные точки внедрения с точки зрения общей безопасности. Если готовой информации нет, я попробую восстановить архитектуру самостоятельно. Но если кто-то из пользователей уже проделал эту работу, пожалуйста, поделитесь результатами.
Что ж, если Discourse указывает на всё это, то это делает его уязвимым, так как тогда хакеры узнают, как это сделать.