[QGIS-DE] Repositorium im Internet

Thomas B rdbath.regiodata at gmail.com
Fr Sep 16 01:01:30 PDT 2022 

Hallo Uwe und Bernd,
ich persönlich halte es allein von der vorhandenen "manpower" für nicht
gegeben, dass alle >1000 Plugins im offiziellen Repository manuell auf
Sicherheitslücken hin überprüft werden können. In einem nicht mehr ganz
aktuellen Blogeintrag wurde die Tatsache, dass der Inhalt der Plugins
außerhalb der Kontrolle des QGIS-Projektes selbst steht folgendermaßen
eingestuft:  "We view this as a potential security risk ". (s.u.)
In Bereichen, in denen IT-Sicherheit wichtig ist oder gar auf bestimmten
ISO-Normen hin überprüft wird würde ich nur ein hausinternes Repository
einbinden. Besser noch wäre es den Plugin-Installer anzupassen, so dass man
mit einer Whitelist arbeiten kann und nur freigegebene Plugins überhaupt
installiert/aktiviert werden können aber das wäre sicherlich ein gewisser
Aufwand. Je nachdem wie viel Bedarf es hier gibt könnte das ja auch mal ein
Thema für ein Crowdfunding sein.

Viele Grüße,
Thomas

https://blog.qgis.org/2016/08/26/what-are-trusted-plugins/

The vast majority of our plugins (listed in http://plugins.qgis.org/ and
inside your copy of QGIS) are developed by third parties, either
individuals, companies, and institutions. As such, they are outside our
direct control and the developers often relatively unknown to the QGIS
community. We view this as a potential security risk. We are convinced the
risk is small, because of many factors including the “many eyes” principle
(the code is visible to everybody, and in use by thousands of people), but
cannot exclude the possibility that someone tries to inject malicious code
into a plugin.

In order to address this situation, we looked into the opportunity of
implementing automatic tools to scan plugins, before their publication, and
spot potential problems. Our research indicated that this approach would be
difficult and costly, and easy to circumvent.

We (the PSC) therefore decided to implement a simple yet robust approach to
security, based on the ‘web of trust’ principle: we trust people we know
well in the community. You will see on the http://plugins.qgis.org web site
that there is a ‘Trusted Author’ tag has been applied to plugins created by
those members of the community that we know and trust.

Am Do., 15. Sept. 2022 um 15:14 Uhr schrieb Bernhard Ströbl <
nospam at stroweb.de>:

> Hallo Uwe,
> meines Wissens nach gibt es da keine Gewährleistung über die Community, um
> sicherzugehen, solltest Du die Frage nochmal auf die QGIS-user ML geben.
> Grundsätzlich gibt es derartige Fragen natürlich. Ein paar Ideen, wie man
> damit umgehen kann:
> - organisatorische Lösung: den MA ist es untersagt, Software aus dem
> Internet zu installieren
> - technische Lösung: sperren der URL
> - technische Lösung: Deaktivieren des Repos in QGIS
> Grundsätzlich kannst Du nicht verhindern, dass jemand sich ein Plugin
> herunterlädt und auf dem Firmenrechner installiert (notfalls lädt er es zu
> Hause runter und bringt es per USB-Stick mit), Du kannst es ihm nur
> erschweren.
> Wenn Du dennoch Plugins zur Verfügung stellen willst, kannst Du sie mit
> QGIS direkt verteilen, oder im Intranet Profile anbieten, die die Nutzer
> bei sich installieren können oder ein eigenes Plugin-Repo im Intranet
> betreiben.
> Grüße
> Bernhard
>
>
> > Brengelmann, Uwe (LGLN) <uwe.brengelmann at lgln.niedersachsen.de> hat am
> 15.09.2022 14:17 CEST geschrieben:
> >
> >
> > Hallo Community,
> > In QGIS ist ja ein Internet-Repositorium eingerichtet, das hunderte von
> QGIS-Plugins enthält. Da das Thema Sicherheit eine immer größere Bedeutung
> bekommt, hier meine Frage dazu:
> > Ist eigentlich sichergestellt, das man sich über das
> Internet-Repositorium keine Viren oder andere Schadprogramme einfängt? Ist
> das durch die QGIS-Community gewährleistet und wie? Gibt es da eine
> Argumentationshilfe den Personen in der eigenen Organisation gegenüber, die
> sich um IT-Sicherheit kümmern?
> >
> > Mit freundlichen Grüßen, Im Auftrage
> > Uwe Brengelmann
> >
> > Landesamt für Geoinformation und Landesvermessung Niedersachsen (LGLN)
> > - Regionaldirektion Oldenburg-Cloppenburg -
> > Dezernat 2 - Geodatenmanagement
> > Im Hagen 2, 27793 Wildeshausen
> > Tel.:       +49 4431 73798-35
> > Fax:       +49 4431 73798-11
> > mailto:uwe.brengelmann at lgln.niedersachsen.de
> > www.lgln.niedersachsen.de<http://www.lgln.niedersachsen.de>
> >
> > _______________________________________________
> > QGIS-DE mailing list
> > QGIS-DE at lists.osgeo.org
> > https://lists.osgeo.org/mailman/listinfo/qgis-de
> _______________________________________________
> QGIS-DE mailing list
> QGIS-DE at lists.osgeo.org
> https://lists.osgeo.org/mailman/listinfo/qgis-de
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.osgeo.org/pipermail/qgis-de/attachments/20220916/cb305036/attachment.htm>

Mehr Informationen über die Mailingliste QGIS-DE