人们很少听说的一支团队，除了在发布说明中，那就是Joomla安全打击队。有时简称为JSST。现在是时候分享一些关于这个团队实际处理的问题的见解了。那么，这个团队里到底有哪些人呢？

团队的主要目标是什么？

很简单：让CMS尽可能安全！这是一个简单的目标，但包括无数的任务

• 我们审查和分类报告
• 我们为有效问题开发补丁
• 我们在将新功能合并到核心之前对其进行代码审查
• 我们监控并保护Joomla.org基础设施

你在Joomla生态系统中扮演什么角色？

我想我们更是一个“幕后”团队。如果一切顺利，我们对外界几乎不可见，尤其是最终用户几乎不需要关注我们的工作 - 当然除了及时应用安全更新之外！

然而，我们希望在不久的将来使我们的工作更加透明，例如通过发布我们的内部pull请求，包括发布后的评论流，使我们的流程更加透明，并从社区的大黑盒中走出来。

你在团队中扮演什么角色？

嗯，我们有团队负责人和副团队负责人的必需角色，我们与VEL团队有联络，我们还有团队中的当前发布负责人，他们在实际发布过程中提供帮助。

团队成员：请自我介绍：

大卫·贾丁：我叫大卫，32岁，住在德国，我从Mambo时代开始参与Joomla。自从2014年以来，我一直担任JSST成员，现在是团队负责人。

托拜厄斯·祖劳夫：我叫托拜厄斯，来自德国，自2011年以来以不同角色参与Joomla。自2017年以来，我一直是JSST成员，并担任当前的副团队负责人。

理查德·法斯：由于我在数据库和其他技术方面的技能，我于2021年1月被邀请加入团队。我帮助审查和测试安全补丁。

哈拉尔德·莱希纳：像许多其他的Joomla贡献者一样，我是从Mambo开始使用Joomla的。但很长一段时间内，我只是个用户。几年前，我参加了一个JoomlaDay活动，并加入了社区。在这之后，我很快加入了JSST，并后来成为3.9.3+和生产线协调员。

尼尔·布拉泽克：我于2021年1月加入JSST，担任Joomla框架的维护者。

你们多久开一次会？会议是如何进行的？

我们每周一举行一次非正式的周会。这些是视频会议，我们讨论新的报告、当前任务和即将发布的版本。

除此之外，我们还会不定时举行“正式”会议，主要目的是选举，但也会讨论影响整个团队的问题。

你们使用哪些工具进行协作？

我们主要的对外沟通工具是基于Zammad的工单系统，这是一款优秀的开源软件。对于内部沟通，我们使用Ringcentral频道，当然还有用于问题相关沟通和补丁开发的私有GitHub仓库。

如果你用三个词来形容团队的氛围，那会是什么词？

大卫：建设性、激动人心、具有挑战性

托比亚斯：专注、协作、流程导向

理查德：协作、专业、专注

哈拉尔德：最重要的团队

尼尔：专业、胜任、认真

在过去的一年（几年）里，团队是如何发展的？

我们的团队非常稳定。在过去几年里，团队成员和任务都没有发生太大变化。

你们面临哪些困难，以及你们是如何（计划）克服它们的？

主要问题是，我们必须尽可能保持团队的小规模，因为我们处理的是关于未公开漏洞的非常敏感信息——但与此同时，我们还需要一个由不同技能组合的人员组成的庞大团队来处理报告、进行分类，特别是创建和测试内部补丁。
这是一个根本性的矛盾，但我们通过包括外部专家解决特定问题来至少部分地解决这个问题。

你们也与其他Joomla社区之外的人合作吗？

是的，这是我们工作的重要组成部分。大多数漏洞报告都是由没有Joomla背景的安全研究人员提交的，所以这是我们的日常工作。除此之外，我们与其他CMS的安全团队、网络托管商、安全软件供应商、MITRE（CVE ID）、其他CNA以及像Google这样的行业领袖合作。在网络安全领域，我们都面临非常相似挑战，所以尽可能合作是理所当然的。

哪个安全问题给你留下了最深刻的印象？

2015年12月，一个零日远程代码执行漏洞被利用来控制Joomla网站。这个漏洞非常特殊，因为它是一个真正的零日问题，所以我们没有收到研究人员的提前报告，但只能看到“野外”被黑客攻击的网站。

实际的攻击向量与一个底层PHP错误有关，而在Joomla中执行实际操作需要使用MySQL的一个边缘情况行为，并滥用另一个第三方库的代码——因此这是一个非常复杂且某种程度上的美丽攻击负载。

你们需要额外的志愿者吗？如果需要，他们在哪些方面？

当然需要！我们正在寻找有网络安全和/或开发背景的志愿者，他们需要在Joomla社区中有坚实的参与。