A biztonság fontossága az Odoo ERP rendszerben

A biztonság fontossága az Odoo ERP rendszerben

Az Odoo Planet legújabb technikai és fejlesztői epizódjában Olivier Colson és Olivier Dony a szoftverfejlesztés egyik legkritikusabb aspektusát, a biztonságot vizsgálja. Az adás során mélyrehatóan elemezték az Odoo biztonsági filozófiáját, a felhőalapú és önállóan hosztolt megoldások közötti különbségeket, valamint a legjobb gyakorlatokat a kibertámadások elkerülése érdekében.


Olivier Dony bemutatkozása

Olivier Dony, az Odoo egyik legrégebbi munkatársa, már 2009 óta dolgozik a cégnél. Kezdetben mindenki több szerepet látott el, és az első funkcionális tréningjei során az éjszaka folyamán tanulmányozta a szoftver forráskódját, hogy másnap oktatni tudja a partnereket. Az idők során fokozatosan a biztonságra és a platformok kezelésére összpontosított.

Az Odoo biztonsági filozófiája

Dony elmagyarázta, hogy az Odoo kezdeti beállításai nagyon nyitottak, hogy megkönnyítsék az új felhasználók számára a rendszer felfedezését. Ez azonban biztonsági kockázatokkal járhat, különösen, ha a felhasználók nem korlátozzák megfelelően az egyes felhasználók hozzáférését a különböző alkalmazásokhoz. Az egyik legfontosabb lépés, amit minden Odoo felhasználónak meg kell tennie, az a kétfaktoros hitelesítés (2FA) engedélyezése, amely jelentősen növeli az adatbiztonságot. Az Odoo 14-es verziója óta elérhető a kétfaktoros hitelesítés (2FA), amely jelentősen növeli a biztonságot. A 2FA bevezetése mellett a felhasználók autentikátor alkalmazást használhatnak, amely 6 jegyű kódokat generál a bejelentkezéshez.

A belső kockázatok kezelése

A beszélgetés során kiemelték, hogy nemcsak a külső támadások, hanem a belső kockázatok is veszélyt jelenthetnek. Például egy nem technikai felhasználó, aki teljes adminisztrátori jogokkal rendelkezik, véletlenül is komoly károkat okozhat a rendszerben. Ezért fontos, hogy minden felhasználó csak a szükséges jogosultságokkal rendelkezzen. Az Odoo-ban van egy speciális "sudo" mód, amely megkerüli a szokásos hozzáférés-ellenőrzéseket. Ha a fejlesztők nem megfelelően kezelik ezt a módot, az komoly biztonsági kockázatot jelenthet, mivel az átlagos felhasználók is hozzáférhetnek olyan adatokhoz, amelyekhez normál esetben nem férnének hozzá.

Védelem a jelszólopások ellen

Dony hangsúlyozta, hogy az egyik leggyakoribb módja annak, hogy a fiókok veszélybe kerüljenek, a jelszólopás. Az emberek gyakran használják ugyanazt a jelszót több platformon is, ami növeli a kockázatot. A kétfaktoros hitelesítés ebben az esetben is segíthet, mivel a támadónak nemcsak a jelszót, hanem a második hitelesítési faktort is meg kellene szereznie.

Biztonsági mentések fontossága

Egy másik kulcsfontosságú téma a biztonsági mentések megfelelő kezelése volt. A támadók gyakran próbálják megsemmisíteni a biztonsági mentéseket is, ezért fontos, hogy ezek a mentések elérhetetlenek legyenek számukra. A megfelelően titkosított és külön hálózatra helyezett biztonsági mentések megvédhetik az adatokat a támadásoktól.

Önálló hosztolás vs. felhőalapú megoldások

A saját szerveren való hosztolás komoly kihívásokkal járhat, mivel nemcsak a biztonságot, hanem a teljesítményt és az integrációt is figyelembe kell venni. Az Odoo felhőalapú megoldásai, mint az Odoo.sh, sokkal egyszerűbbé teszik a felhasználók számára a biztonságos és megbízható környezet fenntartását. Az Odoo app store-jában található külső alkalmazások jelenleg nem esnek át formális ellenőrzési folyamaton, ami biztonsági kockázatot jelenthet. Az Odoo Community Association (OCA) által karbantartott alkalmazások azonban megbízhatóbbak lehetnek, mivel azok alaposabb ellenőrzésen mennek keresztül.

Fejlesztői szempontok

A fejlesztők számára is számos biztonsági kihívás merülhet fel, mint például az injekciós támadások, a jogosultságok ellenőrzése és a távoli kódvégrehajtás. Az Odoo folyamatosan dolgozik azon, hogy javítsa a fejlesztési eszközöket és ellenőrzési folyamatokat, hogy minimalizálja ezeket a kockázatokat.

Az Odoo biztonsági csapatának működése

Az Odoo biztonsági csapata többféle szerepet lát el, beleértve a kódellenőrzést, a penetrációs tesztelést és az incidenskezelést. A közösséggel való szoros együttműködés révén folyamatosan figyelik és javítják a rendszer biztonságát. Az Odoo szoros együttműködést folytat a közösségi biztonsági kutatókkal, akik rendszeresen jelentik a szoftverben talált biztonsági hibákat. Az ilyen együttműködések segítenek abban, hogy a potenciális problémákat gyorsan orvosolják.

Az Odoo naponta több ezer ingyenes próbaverziót kínál, és folyamatosan figyeli, hogy ezek közül melyeket használják visszaélésszerűen. Kevesebb mint 0,15% az ilyen abuzív adatbázisok aránya, de az Odoo folyamatosan dolgozik azon, hogy ezek a visszaélések minél hamarabb kiderüljenek és megszűnjenek.

Ha Te is szeretnél megismerkedni az Odoo-val, akkor foglalj időpontot nálunk!


 IDŐPONTFOGLALÁS

benne Odoo blog
Valójában mire is jó egy átlagos cégnek a mesterséges intelligencia?