Para bien o para mal, hay un nombre que siempre suena en la comunidad Joomla! en español. Muchas veces cuando escuchamos su nombre no tenemos la mejor opinión, pero... ¿Sabías que el monitoreo a la seguridad de las extensiones que descargas del centro de extensiones proviene del mismo nombre?

Hola Mandville, gracias por esta entrevista a la revista de la comunidad Joomla! en español...

¿Puedes contarnos acerca de hace cuánto tiempo que existe el VEL o Listado de Extensiones Vulnerables?

Comenzamos este proyecto en Abril del 2012, luego de que un concepto previo fuera abandonado el 2009 y continuará siendo discutido a través de los foros de Joomla!..

¿Cuál es la misión del VEL y por supuesto, su importancia dentro del proyecto Joomla!?

La misión es mantener informada a la comunidad de las vulnerabilidades que se tiene conocimiento en las extensiones (aún cuando estas no se encuentren listadas en el centro de extensiones). Es dificil describir la importancia dentro del proyecto, pero si le dieron un lugar dentro de los sitios de la familia joomla.org es porque debe serlo.

¿Quiénes son las personas detrás del VEL?

Los nombres de la gente detrás del VEL no son de conocimiento público, es algo que mantenemos en la confidencialidad y solo los conocemos dentro del grupo. Esto debido a la imparcialidad que promovemos dentro del equipo.

¿Cuál es tu rol dentro del equipo de extensiones vulnerables?

Soy la fundadora y en estos momentos lidero el equipo.

¿Hay algún punto débil dentro del VEL que deba ser mejorado?

Muchas veces las personas no nos informan respecto a alguna extensión que se encuentre listada dentro del VEL, ya sean desarrolladores o usuarios en general. Los desarrolladores podrían informarnos de cada actualización de seguridad y no esperar a que nosotros la descubramos demasiado tarde.

¿Cuánto tiempo inviertes tu y el equipo del VEL en el proyecto?

El tiempo que hemos invertido y que invertimos en el VEL es incalculable.

Considerando la importancia de este proyecto y los riesgos de seguridad que están implicados, ¿Cómo mantienen la confidencialidad dentro del proyecto de extensiones vulnerables?

Nosotros trabajamos bajo el concepto de confianza en cada uno de los miembros y su compromiso con el proyecto VEL. Hasta hoy no hemos tenido ningún problema de este tipo como para que un miembro deba ser expulsado del proyecto.

¿Cuál es procedimiento para informar acerca de una extensión que debiera ser incluida en el VEL?

Llenando el formulario que tenemos en: http://vel.joomla.org/submit-vel.html

Cuando una extensión ingresa al listado del VEL, ¿Puede el desarrollador realizar los cambios para salir del listado?

Las extensiones no son eliminadas del listado, sino que la inseguridad detectada es marcada como resuelta. El proceso para informar de una solución a una vulnerabilidad es informándolo vía: http://vel.joomla.org/extension-update-form.html

¿Cúal es el procedimiento que aplican para saber que una extensión ha dejado de ser vulnerable y sea removida del VEL?

Nosotros asumimos que el desarrollador debe saber como corregir los fallos de seguridad que pueda tener su extensión, para marcar ese problema como resuelto (No removemos la extensión). Además siempre dejamos claro que no nos comprometemos a probar o validar extensiones.

En tu opinión, ves que el número de extensiones listadas en el VEL han ido en aumento o disminuyendo con la nueva versión de Joomla!?

Afortunadamente hemos tenido pocos casos recientemente, pero eso no tiene que ver con las versiones de Joomla! en realidad. Un ejemplo es cuando “timthumb” tuvo exploit, esa librería es la base para muchas extensiones que ofrecen una solución de galería de imágenes, por lo que una serie de ellas se convirtieron en “explotables” por culpa de un tercero. Uno de los casos recientes fue con la librería del “open flash chat”.

¿Cuál es la extensión más vulnerable que han tenido que revisar en el equipo del VEL?

Ahí ejerce nuestra cláusula de privacidad, pero pueden examinar el listado.

En tu opinión, ¿Qué extensión la comunidad no debiera siquiera en pensar usarla en sus desarrollos?

Cualquier extensión que no haya sido descargada directamente por las vías ofrecidas por el desarrollador de esa extensión.

¿Tienes algún consejo para dar a los desarrolladores, de tal forma que puedan mantener alejadas sus extensiones del VEL?

No soy desarrolladora de código, pero...

Si cambias los permisos de las carpetas, devuélvelos a su estado inicial.
Si usas librerías externas, mantenlas actualizadas (timthumb, ocflash etc).
Avisa al equipo del VEL que tienes actualizaciones de seguridad (No todos están registrados en la lista de correos del desarrollador para enterarse).