Короче, чтобы не откладывать в долгий ящик, я пока озвучу пару идей (остальные чуть позже).За последний ~год WordPress (ядро, плагины, темы - вся экосистема) всё чаще стал попадаться на глаза безопасникам (энтузиастам, баунтихантерам и пр.). Это позитивная перемена, потому что вокруг WordPress, как и вокруг PHP, регулярно крутятся высказвания в духе "_да WordPress/PHP (выбрать нужное) уже мёртв, у него нет будущего_" и аналогичные экспертные мнения. Время расставляет всё по своим местам, и сейчас наметилась ещё одна скромная тенденция: на аспекты безопасности стали подтягиваться программисты/разработчики.
Что тут интересного? Во-первых, практика показала, что _успешно_ (акцент именно на этом слове) войти в тему безопасности WordPress (просто ради вклада в сообщество, ради практики или ради славы и вознаграждения - каждому своё) шансов гораздо больше именно у программиста/разработчика, нежели у специлиста по апсеку. Тут всё просто и логично: программист/разработчик знает систему как свои пять пальцев, и очень весомым преимуществом тут является умение читать (чужой) код. У WordPress в этом плане есть свой порог входа, и он кажется ненужным, неоправданным в глазах многих баунтихантеров/безопасников (опрометчиво, но всё же). Во-вторых, за прошлые два года была проделана определённая работа, чтобы "лёд тронулся" по двум направлениям, а именно: степень оценки и принятия уязвимостей, даже если они не будут эксплуатироваться (иначе говоря, частные случаи, а не массовые), и второе - это сегмент "премиум" (темы, плагины).
Что это дало? Снизился уровень пафоса вокруг темы "уязвимостей" как таковых (хоть и не полностью), но теперь новичков не клюют и не мешают с помоями за репорт Admin+. Это банально упрощает точку входа в исследование WordPress и позволяет влиться в сообщество уже в направлении безопасности. И это работает.
С "премиум" темами и плагинами сложнее, т.к. тот же Envato утонул в бюрократии, и всё движется черезвычайно медленно. Но движется. Иначе говоря, они стали принимать репорты и реагировать на сообщения об уязвимостях в продуктах, распространяемых на своих маркетплейсах.
К чему я всё это? Во-первых, у нас есть много толковых и крутых специалистов по WordPress, и наверняка кто-то захочет приложить руку и к поиску уязвимостей (или хотя бы попробовать это сделать). Тут есть вариант рассказать, как получить свой первый CVE ID и вполне даже попробовать взять денежный приз. Во-вторых, это возможность рассказать (пока в голову приходит мысль только о формате интервью, но можно ещё подумать над этим вопросом) и о тех, кто интересуется вопросами безопасности WordPress, потому что на слуху пока только программисты/разработчики, оптимизаторы. Думаю, не мне одному был бы интересен такой контент. В-третьих, есть несколько ребят, которые как раз переключились с разработки на поиск уязвимостей, и вполне можно было бы на фоне их истории попробовать сделатьтакой контент, который хотя бы в теории мог послужить примером/призывом к действию. Увы, у нас народ всё же пассивен в своём большинстве, поэтому на ум приходят пока только зарубежные энтузиасты и исследователи.
Вроде, без воды и кратко описал пару идей. Пингую тех, кто выразил заинтересованность: @mihdan @yui @sergey @kword
Вопросы, мысли, критика - велкам.
