Organisation des équipes (Team Sécurité)

claffont · Mai 30, 2024, 10:22

Bonjour,
Je travail pour Openstudio qui utilise SPIP depuis une dizaine d’année. Aujourd’hui, SPIP propose régulièrement des MAJ de sécurité et en tant que Responsable sécurité pour nos clients, j’ai pris comme engagement de sécuriser au maximum les plateformes et d’analyser et de m’assurer que les MAJ de sécurité fonctionnent bien. Je souhaiterais intégrer votre équipe de sécurité afin de pouvoir contribuer à la sécurité du core SPIP et pouvoir (vous aider à) analyser et valider les patchs de sécurité. Je dispose de 2 personnes en interne (Pentester) qui pourront venir m’aider dans cette tâche.
Est-ce que vous pourriez me dire si c’est possible et comment je peux faire pour intégrer vos équipes « core-dev » sur les aspects de sécurité ?
Merci
Cordialement,
Christophe

JamesRezo · Mai 30, 2024, 11:11

(j’ai déplacé ce message dans « dev », il vaut mieux éviter de poster dans « Équipes » …)

maieul · Mai 30, 2024, 11:25

Pour ma part je trouverai pertinent d’élargir l’équipe sécurité (et plus largement l’équipe). Donc oui.

RealET · Juin 5, 2024, 12:11

Moi aussi, je suis pour.

Merci @claffont pour ta proposition et ton aide.

b_b · Juin 10, 2024, 9:59

Petite relance, qu’en pensent les autres membres de l’équipe ?

cy_altern · Juin 10, 2024, 10:16

à priori ça semble une bonne idée d’avoir plus de personnes compétentes impliquées dans cette équipe
(dans la mesure où on reste très rigoureux sur quand et comment se fait la communication des infos de sécurité vers l’extérieur…)

b_b · Juin 10, 2024, 11:59

Claro, c’est implicite jusqu’à ce jour, mais il est évident que les membres de cette équipe :

ne communiquent pas les infos internes à l’équipe vers l’extérieur (du moins sans l’accord de l’équipe)
ne se servent pas de ces infos pour proposer des services dans le cadre de leur activité professionnelle (genre je vais vous sauver votre SPIP avant la release de sécu à venir)
n’utilisent pas leur appartenance à l’équipe comme un argument commercial dans le cadre de leur activité pro (pour moi c’est acté, mais ça reste à décider en commun)

J’ai peut-être oublié d’autres points, n’hésitez pas à compléter.

RealET · Juin 10, 2024, 12:20

n’utilisent pas les connaissances acquises pour hacker un site et se présenter comme sauveur ensuite

cy_altern · Juin 10, 2024, 1:20

ça me semble clair et complet : merci de l’avoir exprimé explicitement !

maieul · Juin 10, 2024, 2:03

bie n que tout ces enjeux me paraissent désiroire aujourd’hui, je suis d’accord avec les explicitations de b_b et aussi de jacques

cerdic · Juin 15, 2024, 8:44

Pour moi c’est ok aussi

eric_tonton · Juin 15, 2024, 6:24

Ok.

b_b · Juin 17, 2024, 9:02

Pour info, j’ai reporté tout ça dans le post de présentation de l’équipe.