von Yanick Witschi

Änderungen an unserer Security-Policy

Liebe Contao-Community,

wir möchten euch heute über wichtige Änderungen an unserer Security Policy informieren, die ab sofort gelten. Diese Anpassungen sollen dazu beitragen, unsere Prozesse effizienter zu gestalten und eure Planung zu erleichtern – ohne dabei Kompromisse bei der Sicherheit einzugehen.

1. Sicherheitsupdates werden nicht mehr standardmäßig vorab angekündigt

In der Vergangenheit haben wir alle Sicherheits-Releases mit rund zwei Wochen Vorlaufzeit angekündigt, unabhängig davon, wie gravierend eine Sicherheitslücke tatsächlich war. Das hatte zwar den Vorteil, dass sich Unternehmen und Agenturen gut vorbereiten konnten, in der Praxis führte es jedoch oft zu unnötigem Aufwand: Mitarbeitende wurden eingeplant, Systeme blockiert oder Update-Termine reserviert, nur um dann festzustellen, dass das Update für das eigene Projekt gar nicht relevant war.

Ab sofort gilt deshalb:

  • Fixes für moderate Sicherheitslücken fließen regulär in den normalen Bugfix-Release-Zyklus mit ein – ohne separate Vorankündigung.
  • Bei schweren oder kritischen Lücken machen wir weiterhin eine Vorankündigung mit zwei Wochen Vorlauf.

Diese Vorgehensweise ist in der Open-Source-Welt üblich und bewährt. Auch große Projekte wie z. B. Symfony oder PHP selbst folgen einem ähnlichen Prinzip: Kleinere Security-Fixes werden in normalen Releases veröffentlicht, während nur wirklich kritische Lücken separat kommuniziert und angekündigt werden.

Wichtig: Alle betroffenen Releases werden selbstverständlich weiterhin klar als Sicherheits-Releases gekennzeichnet – sowohl auf contao.org unter „Sicherheitshinweise“, als auch an den dafür vorgesehenen Stellen wie z. B. packagist.org zur automatisierten Auswertung. Die Änderungen betreffen also ausschliesslich den Vorlauf der Ankündigung – nicht die Kommunikation der Inhalte selbst.

Das Contao Core-Team prüft bei jeder Sicherheitslücke sorgfältig, ob eine Vorankündigung nötig ist. Im Zweifel entscheiden wir im Sinne der Sicherheit und Transparenz.

2. Keine Bug-Bounties mehr

In der Vergangenheit haben wir für das Melden von Sicherheitslücken Bug-Bounties (Prämien) ausgeschüttet. Leider hat sich gezeigt, dass diese Praxis zunehmend missbraucht wird:

  • Die Zahl unseriöser Meldungen ist durch automatisierte Tools und KI-gestützte „Hunter“ deutlich gestiegen.
  • Diese Reports binden viel Zeit und Ressourcen, ohne dass am Ende ein echter Sicherheitsgewinn entsteht.

Daher haben wir – so wie andere Projekte auch – beschlossen, ab sofort keine Bug-Bounties mehr auszuzahlen. Bei ernstzunehmenden Meldungen aus der Community behalten wir uns vor, weiterhin eine Prämie zu vergeben – allerdings auf freiwilliger Basis und nach Ermessen des Core-Teams.

Wir möchten uns an dieser Stelle herzlich bei allen bedanken, die in der Vergangenheit durch seriöse Hinweise zur Sicherheit von Contao beigetragen haben.

Eure Arbeit bleibt unverzichtbar!

Diese Änderungen helfen uns, fokussierter und effizienter an Contao zu arbeiten – mit dem klaren Ziel, die Qualität und Sicherheit unserer Software auf hohem Niveau zu halten, ohne unnötigen Overhead.

Wie immer gilt: Wenn ihr Fragen oder Feedback habt, kommt gerne auf uns zu – entweder im Forum oder via Slack.

Yanick Witschi

Über Yanick Witschi

Yanick ist Caching- und Resolverheld von Contao und dafür mitverantwortlich, dass deine Kaffeepause seit der Umstellung auf Composer 2 um einiges kürzer ausfällt. Er war Mitbegründer und der erste Präsident des Vorgängervereins der Contao Association. Als Core-Entwickler steckt er viel Herzblut in Contao. Bei terminal42 hebt er mit den Kunden regelmässig ab. Ausserdem liebt er die Küche, Basketball, Tennis, Politik, den afrikanischen Kontinent und Astrophysik.

Alle News anzeigen

Kommentare

Kommentar von Philipp |

Danke für eure Arbeit! 🧡

Einen Kommentar schreiben

Bitte addieren Sie 2 und 8.