Discourse 是否有可用的架构或网络图?或者是否有讨论 Discourse 安全性的文档?使用了哪些端口?涉及哪些服务?是否有任何资料可以说服安全审查团队,证明 Discourse 是一个适合托管机密讨论的安全服务?
谢谢。
1 个赞
嘿,Cristy,
欢迎来到社区。
这里有一份使用 Discourse 的客户名单。有不少知名公司都信赖 Discourse。既然他们都信任 Discourse,我又有什么理由质疑呢:slight_smile:
来自我们的 README:
在 Discourse,我们非常重视安全;我们的所有代码均为 100% 开源并接受同行评审。请阅读 我们的安全指南,了解 Discourse 中的安全措施,或如果您希望报告安全漏洞。
1 个赞
知道有一个庞大的用户社区在使用 Discourse 确实很有帮助。但这让我想起了蒙提·派森的一个小品:他们建造了一栋公寓楼,里面有一条布满旋转刀刃的走廊——“别担心,你会没事的。其他人都买了同样的房子,我们还没收到过任何投诉。”我不禁想问,为什么呢?
我理解整体架构:使用 Docker 容器、Ruby、PostgreSQL,并且默认只开放一个端口(80)。然而,在成千上万的客户中,我不可能是第一个对 Discourse 相关安全问题感到担忧的人。
嘿 @cristy,看看 Gerhard 链接的那个页面。你可能也会对我们的 Security brief | Discourse - Civilized Discussion 感兴趣。
我之前阅读过安全指南——贵方对安全的承诺已为我们奠定了坚实基础。然而,该指南并未深入说明具体使用了哪些服务、涉及哪些端口、它们如何连接、存在哪些潜在漏洞等细节。我试图自行推断这些信息,但由于我并非 Discourse 的开发人员,很容易在整体架构及潜在注入点方面出现疏漏。如果目前尚无现成资料,我将尝试自行重构架构。但如果用户社区中已有人完成此项工作,敬请分享。
好吧,如果 Discourse 指出了所有这些漏洞,那么它自身也会变得脆弱,因为黑客会因此知道如何攻击。