<div dir="ltr"><div>Hallo Uwe und Bernd,</div><div>ich persönlich halte es allein von der vorhandenen "manpower" für nicht gegeben, dass alle >1000 Plugins im offiziellen Repository manuell auf Sicherheitslücken hin überprüft werden können. In einem nicht mehr ganz aktuellen Blogeintrag wurde die Tatsache, dass der Inhalt der Plugins außerhalb der Kontrolle des QGIS-Projektes selbst steht folgendermaßen eingestuft: "We view this as a potential security risk
". (s.u.) <br></div><div>In Bereichen, in denen IT-Sicherheit wichtig ist oder gar auf bestimmten ISO-Normen hin überprüft wird würde ich nur ein hausinternes Repository einbinden. Besser noch wäre es den Plugin-Installer anzupassen, so dass man mit einer Whitelist arbeiten kann und nur freigegebene Plugins überhaupt installiert/aktiviert werden können aber das wäre sicherlich ein gewisser Aufwand. Je nachdem wie viel Bedarf es hier gibt könnte das ja auch mal ein Thema für ein Crowdfunding sein.</div><div><br></div><div>Viele Grüße,</div><div>Thomas<br></div><div><br></div><div><a href="https://blog.qgis.org/2016/08/26/what-are-trusted-plugins/">https://blog.qgis.org/2016/08/26/what-are-trusted-plugins/</a> <br></div><div>
<p>The vast majority of our plugins (listed in <a href="http://plugins.qgis.org/" rel="nofollow">http://plugins.qgis.org/</a>
and inside your copy of QGIS) are developed by third parties, either
individuals, companies, and institutions. As such, they are outside our
direct control and the developers often relatively unknown to the QGIS
community. We view this as a potential security risk. We are convinced
the risk is small, because of many factors including the “many eyesâ€
principle (the code is visible to everybody, and in use by thousands of
people), but cannot exclude the possibility that someone tries to inject
malicious code into a plugin.</p>
<p>In order to address this situation, we looked into the opportunity of
implementing automatic tools to scan plugins, before their publication,
and spot potential problems. Our research indicated that this approach
would be difficult and costly, and easy to circumvent.</p>
<p>We (the PSC) therefore decided to implement a simple yet robust
approach to security, based on the ‘web of trust’ principle: we trust
people we know well in the community. You will see on the <a href="http://plugins.qgis.org" rel="nofollow">http://plugins.qgis.org</a>
web site that there is a ‘Trusted Author’ tag has been applied to
plugins created by those members of the community that we know and
trust.</p>
</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Am Do., 15. Sept. 2022 um 15:14 Uhr schrieb Bernhard Ströbl <<a href="mailto:nospam@stroweb.de">nospam@stroweb.de</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hallo Uwe,<br>
meines Wissens nach gibt es da keine Gewährleistung über die Community, um sicherzugehen, solltest Du die Frage nochmal auf die QGIS-user ML geben.<br>
Grundsätzlich gibt es derartige Fragen natürlich. Ein paar Ideen, wie man damit umgehen kann:<br>
- organisatorische Lösung: den MA ist es untersagt, Software aus dem Internet zu installieren<br>
- technische Lösung: sperren der URL<br>
- technische Lösung: Deaktivieren des Repos in QGIS<br>
Grundsätzlich kannst Du nicht verhindern, dass jemand sich ein Plugin herunterlädt und auf dem Firmenrechner installiert (notfalls lädt er es zu Hause runter und bringt es per USB-Stick mit), Du kannst es ihm nur erschweren.<br>
Wenn Du dennoch Plugins zur Verfügung stellen willst, kannst Du sie mit QGIS direkt verteilen, oder im Intranet Profile anbieten, die die Nutzer bei sich installieren können oder ein eigenes Plugin-Repo im Intranet betreiben.<br>
Grüße<br>
Bernhard<br>
<br>
<br>
> Brengelmann, Uwe (LGLN) <<a href="mailto:uwe.brengelmann@lgln.niedersachsen.de" target="_blank">uwe.brengelmann@lgln.niedersachsen.de</a>> hat am 15.09.2022 14:17 CEST geschrieben:<br>
> <br>
>Â <br>
> Hallo Community,<br>
> In QGIS ist ja ein Internet-Repositorium eingerichtet, das hunderte von QGIS-Plugins enthält. Da das Thema Sicherheit eine immer größere Bedeutung bekommt, hier meine Frage dazu:<br>
> Ist eigentlich sichergestellt, das man sich über das Internet-Repositorium keine Viren oder andere Schadprogramme einfängt? Ist das durch die QGIS-Community gewährleistet und wie? Gibt es da eine Argumentationshilfe den Personen in der eigenen Organisation gegenüber, die sich um IT-Sicherheit kümmern?<br>
> <br>
> Mit freundlichen Grüßen, Im Auftrage<br>
> Uwe Brengelmann<br>
> <br>
> Landesamt für Geoinformation und Landesvermessung Niedersachsen (LGLN)<br>
> - Regionaldirektion Oldenburg-Cloppenburg -<br>
> Dezernat 2 - Geodatenmanagement<br>
> Im Hagen 2, 27793 Wildeshausen<br>
> Tel.:Â Â Â Â +49 4431 73798-35<br>
> Fax:Â Â Â Â +49 4431 73798-11<br>
> mailto:<a href="mailto:uwe.brengelmann@lgln.niedersachsen.de" target="_blank">uwe.brengelmann@lgln.niedersachsen.de</a><br>
> <a href="http://www.lgln.niedersachsen.de" rel="noreferrer" target="_blank">www.lgln.niedersachsen.de</a><<a href="http://www.lgln.niedersachsen.de" rel="noreferrer" target="_blank">http://www.lgln.niedersachsen.de</a>><br>
> <br>
> _______________________________________________<br>
> QGIS-DE mailing list<br>
> <a href="mailto:QGIS-DE@lists.osgeo.org" target="_blank">QGIS-DE@lists.osgeo.org</a><br>
> <a href="https://lists.osgeo.org/mailman/listinfo/qgis-de" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/qgis-de</a><br>
_______________________________________________<br>
QGIS-DE mailing list<br>
<a href="mailto:QGIS-DE@lists.osgeo.org" target="_blank">QGIS-DE@lists.osgeo.org</a><br>
<a href="https://lists.osgeo.org/mailman/listinfo/qgis-de" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/qgis-de</a><br>
</blockquote></div>