Considerando as atribuições institucionais desta Diretoria da Presidência - DPR, contidas no Art. 26, Inciso III, do Decreto nº 26.063/2011, e a Assessoria de Governança Corporativa – AGC, no exercício de suas atribuições, e com a finalidade de evitar a indisponibilidade do serviço e ataques ao DRUPAL, WORDPRESS e demais ferramentas CMS – Content management System (sistema de gerenciamento de conteúdo) vem, por meio desta orientação, informar o seguinte:
1 -Seguir as boas práticas
As plataformas CMS oferecem uma série de facilidades de uso. Porém é importante ressaltar, que apenas os módulos oficiais em versão estável, são considerados na hora do lançamento de uma nova versão e por tanto não é adequado o uso das mesmas no âmbito empresarial. Também, diferente do ambiente doméstico, a ferramenta é disponibilizada através de um trabalho conjunto de diversas áreas, tornando-se assim necessária a observação do Guia de Administração e Segurança da ferramenta, assim como a Documentação de Melhores Práticas. Entre elas, ressaltamos as seguintes:
- Códigos eficientes e seguros;
- Preservação do core original;
- Criar política de acesso ao fonte da ferramenta;
- Não instalar módulos tipo “dev” e “beta”;
- Não usar snippets PHP;
- Política de senhas fortes;
- Uso de módulos que tornam a aplicação mais segura.
2 -Atualização de release/patches de segurança
A atualização no ambiente produtivo de novos releases, bem como aplicar os patches de segurança, assim que a vulnerabilidade for anunciada, é de responsabilidade da área de infraestrutura.
3 -Atualização de versão
A atualização no ambiente produtivo só poderá ser efetuado após testes nos ambientes de desenvolvimento e homologação.
4 -Registro de atualizações
Deverá ser implantado o registro das atualizações efetuadas de forma automatizada e versionada para acompanhamento da governança.