حفره امنیتی در Bizagi 11

شناسایی حفره امنیتی در نسخه یازدهم Bizagi

مقالات BPM و BPMS / ۱۳۹۹/۰۷/۰۲ / 4 دقیقه برای مطالعه

به تازگی عده‌ای از کارشناسان در حوزه BPM درباره امنیت نسخه یازدهم نرم‌افزار Bizagi اظهارنظرهای غیرواقعی می‌کنند. آکادمی فراگستر بعنوان اولین شرکت معتبر فعال در حوزه آموزش و پیاده‌سازی مدیریت فرایندها وظیفه خود میداند که در این راستا شفاف‌سازی‌های لازم را انجام دهد. یک نقص در نرم‌افزار نسخه ۱۱ Bizagi ، نباید منجر به بدبینی نسبت به نرم افزار کاربردی و محبوب بیزاجی و بدبینی سازمانها به تکنیک‌های پیاده‌سازی مدیریت فرایندها گردد.

نسخه یازدهم نرم افزار Bizagi برای آموزش BPMS خوب است ولی از امنیت کافی برخوردار نیست.

با بررسی‌های انجام شده بر روی نسخه ۱۱ Bizagi آسیب‌های جدی در این نرم‌افزار رویت شده است. البته بعید هم نبود شرکت Bizagi با گسترش این نرم‌افزار تمهیداتی برای حفظ لیسانس و حق استفاده از نرم‌افزار خود قایل شود. اما نرم‌افزار بیزاجی دارای حفره‌های جدی‌ای است که می‌تواند علاوه‌بر به خطر انداختن نرم افزار BPMS درگاهی برای آسیب سایر نرم‌افزارها و سرورها باشد. یکی از دلایلی که شرکت‌هایی که در ایران با Bizagi فعال بودند ولی هم اکنون بر روی این نرم‌افزار کار نمی‌کنند نیز همین مسئله است.

محیط امن برای امنیت نرم‌افزار کافی نیست!

الفبای مهندسی امنیت، امنیت خود نرم افزار است. محیط امن برای نرم‌افزار BPMS کافی نیست. حتی اگر محیط امنی داشته باشید کاربران میتوانند در شبکه از حفره‌های نرم افزار استفاده نمایند و حمله نمایند. چه برسد به اینکه برخی از شرکت‌ها ، نرم افزار BPMS را روی اینترنت قرار میدهند. محیط اینترنت محیط امن نیست و روزانه هزاران حمله در آن رخ میدهد. در این خصوص میتوانید کتاب آموزش BPMS با نرم افزار Bizagi را بصورت رایگان دانلود کرده و مطالعه کنید.

نرم‌افزارهای امن گواهینامه امنیت دارند!

با گسترش فناوری اطلاعات مرکز افتا آزمایشگاه هایی برای تست امنیت نرم افزار را دایر نموده است. نسخه ای توسط یکی از شرکت ها به یکی از این مراکز ارسال شد که با لیست بلند بالایی از حفره های امنیتی مواجه شد. حال کافی است نسخه Bizagi 11 را به یکی از این مراکز بفرستید تا این لیست بلند بالا را دریافت نمایید. بدیهی است که شرکت های نرم افزاری نسخه های ویژه ای به عنوان نسخه امن دارند که نرم افزار Bizagi کرک شده نه تنها این نسخه نیست بلکه حفره های جدیدی نیز به واسطه از کار انداختن برخی از قسمت ها برای کنترل لیسانس ایجاد کرده است.

نسخه یازدهم نرم‌افزار Bizagi دارای حفره های امنیتی و آسیب پذیر در برابر برخی از گونه‌های حمله است که برای جلوگیری از بروز فاجعه به شرح جزییات آن نمی‌پردازیم و فقط به عنوان متخصص بصورت جدی برای محافظت از شرکت‌ها هشدار میدهیم.

آیا Bizagi تاکنون از آزمایشگاه‌های امنیت، گواهینامه امنیت اخذ نموده است؟

از کسانی که ادعا دارند نسخه یازدهم بیزاجی امن است درخواست کنید تا گواهینامه امنیت سیستم را توسط یکی از آزمایشگاه‌های مرکز افتا به شما نشان دهند. قطعا این نرم افزار خصوصا نسخه ای که دانلود شده و کرک شده گواهینامه امنیت ندارد. دقت کنید که گواهینامه مربوط به مرکز افتا و آزمایشگاه های مورد تایید افتا باشد و گواهینامه های شرکت های متفرقه و فتوشاپی نباشد.

آیا نرم‌افزار Bizagi کرش می‌کند و از کار می‌افتد؟

واقعیت پاسخ این سوال بلی است. نسخه یازدهم نرم‌افزار بیزاجی علاوه بر مشکلات امنیتی دارای اشکالات دیگری نیز است که باید بصورت جدی به آن توجه کرد. فرآیندها برای استفاده از قابلیت Versioning باید publish شوند درحالیکه پس از publish های متعدد ممکن است جدول milestone های مربوطه به هم بریزند و باعث از دست رفتن کل فرآیند و داده ها شود. در این حالت برای بازیابی آن بایدbackup  نسخه اجرایی و محیط توسعه به publish قبلی برگردند که باعث از دست رفتن اطلاعات حداقل برای چند هفته میشود. زیرا معمولا بین دو publish  چند هفته زمان برای توسعه و تکمیل فرآیند اجرایی نیاز است.

این مشکل در نسخه ۱۰ به بعد در اثر تغییراتی برای publishing فرآیند ایجاد شده و bizagi با استفاده از ابزارهای پشتیبانی آن را برطرف مینماید که با توجه به اینکه شرکت‌ها پشتیبانی آن را ندارند با فاجعه از دست رفتن اطلاعات روبرو خواهند شد. البته این موضوع در حجم اطلاعات پایین رخ نمی‌دهد و هنگامی که شما از یک فرآیند به صورت جدی چندین ماه استفاده نمایید به یکباره بروز می‌نماید که قابل بازیابی نیست.

ویدیو آموزش نرم افزار Bizagi

آیا فقط باید به open source ها اعتماد کرد؟

یکی از دلایل امنیت بیشتر لینوکس، متن باز بودن آن است. در نرم‌افزاری که متن باز است میتوان دید شفافی از نحوه عملکرد برنامه داشت و ان را اصلاح یا کنترل نمود. حتی میتوان اشکالات امنیتی آن را برطرف نمود و برای گواهینامه امنیت آن اقدام کرد. متاسفانه نرم‌افزار بیزاجی علاوه بر اینکه متن باز نیست دارای کدهای کنترل لیسانس محافظت شده است که در نسخه کرک شده آن اشکالات زیان‌باری را ایجاد نموده است.

توجه کنید نرم‌افزار Bizagi برنامه مناسبی برای آموزش BPM میباشد و در صورتیکه پشتیانی و update های جدید داشته باشد میتواند یک نرم‌افزار کاربردی برای سازمان محسوب شود. ولی بدون پشتیبانی شرکت سازنده ، استفاده از این نرم افزار خصوصا از نسخه ۱۰ به بعد توصیه نمی‌شود و شاید دلیل ترک آن و کوچ به سمت open source ها توسط شرکت ها همین موضوعات بوده است.

فهرست کلاسهای در حال برگزاری آکادمی فراگستر

اسکرول به بالا