Blog

Bilan #Drupalgeddon

slybud
29/06/2018
Sécurité : Retour sur les épisodes #DrupalGeddon 2018 @OWS et @OWNS
Photo de l'équipe OWS au travail le soir du DrupalGeddon2

Autant 2015, 2016, 2017 ont été des années relativement "normales" en termes de failles de sécurité sur notre CMS préféré (le dernier épisode hautement critique datant d'octobre 2014 : faille Sql injection connue sous le nom de "Drupalgeddon"), autant 2018 aura démarré déjà bien fort en nous proposant 2 failles hautement critiques dans le core drupal, toutes version confondues (8, 7 et même Drupal 6, car oui, il existe encore des Drupal6/Pressflow en production, ne faites pas les innocents).

Je profite de ce billet de blog pour féliciter toutes les équipes OWS et OWNS pour leur implication, leur préparation et leur professionnalisme au cours de ces deux événements. Pour rappel, la publication de ce genre de failles nécessite des réactions dans l'heure afin de garantir la sécurité des sites de nos clients et la non compromission de leurs systèmes d'information.

Petit rappel du (bon) déroulement des opérations , n'hésites pas à nous contacter si vous souhaitez en savoir plus ou voir comment nous pourrions vous aider à mettre ces process en place. Pour les clients disposant d'un contrat de TMA chez OWS, cela s'est passé de la manière suivante :

  • Veille technologique hebdomadaire de nos architectes techniques et lead développeurs, ayant permis de prendre connaissance une semaine avant de la SA et de la fenêtre de release des patches
  • Mobilisation des équipes pour réserver du temps de travail sur ce créneau inhabituel (20h-22h pour le premier épisode) et vérifier la disponibilité de chacun
  • Vérification de l'état de toutes les instances (preprod et prod) des drupal maintenus
  • Déploiement éventuel des développements/mises à jour en attente ou création des branches git adéquates
  • Vérification de l'intégration continue pour tous ces projets
  • Recensement des hébergeurs tiers et prise de contact pour les prévenir des déploiements nécessaires sur le créneau visé
  • Répartition des clients sur tous les membres de l'équipe disponible (à la fois pour l'application des patches, mais aussi pour les déploiements/l'intégration continue et la recette technique après déploiement)
  • Alerte de tous les clients de l'opération à venir
  • Attente du jour J et de l'heure H

En parallèle, les administrateurs systèmes de notre filiale Open Web Network Solutions ont mis en place les actions suivantes :

  • Mobilisation des équipes pour réserver du temps de travail sur ce créneau inhabituel (20h-22h pour le premier épisode) et vérifier la disponibilité de chacun
  • Préparation d'un script d'orchestration permettant de
    • recenser automatiquement toutes les instances drupal d'un serveur
    • recenser les fichiers concernés par le patch de sécurité
    • appliquer automatiquement le patch de sécurité à ce fichier
    • sortir un rapport détaillé pour les éventuelles actions manuelles à mener pour de rares cas
  • Tests de ce script sur des infras de dev
  • Prévenir les clients (hors TMA OWS

Résultat : à l'heure H du jour J, dans une ambiance détendue et d'équipe, avec de la restauration livrée dans les locaux pour ceux qui étaient sur place à l'agence, il nous a fallu 2 heures pour mettre à jour et sécuriser des centaines d'instance drupal et aller se coucher apaisés :) . Aucun site n'a d'ailleurs été compromis grâce à ces actions

Donc encore bravo et merci à toute l'équipe et aux process/méthodes éprouvées pour la TMA et linfogérance Drupal.

Pour références/aller plus loin :

 

 

 

Les DrupalCamp en France, c'est reparti !

slybud
17/05/2016
C'est l'été et les événements business autour de Drupal refleurissent : Agora CMS, Drupagora, Mon p'tit chat agora ... oups, je m'égare.
logo drupal camp Nantes

C'est l'été et les événements business autour de Drupal refleurissent : Agora CMS, Drupagora, Mon p'tit chat agora ... oups, je m'égare.

Bien sûr, nos équipes commerciales seront ravies de vous croiser à l'occasion de ces rendez-vous, notamment à Drupagora, mais ce qui nous fait le plus vibrer, c'est l'annonce d'un grand DrupalCamp en France, j'ai nommé : Drupal Camp Nantes 2016 !

Avec les Dev Days, cela reste les meilleurs rendez-vous de la communauté, l'occasion d'assister à des conférences techniques de premier ordre, de renouer le lien avec la communauté fr, et de passer de très bons moments en se formant sur les dernières innovations Drupal 8.

Fidèle à sa tradition de sponsoring des DrupalCamp en France (et pas que, nous avons même sponsorisé le Drupal Camp Los Angeles fût un temps) depuis leur création, OWS est à nouveau fière de sponsoriser ce bel événement : nous sommes donc Sponsor Or du DrupalCamp Nantes !

Concrètement cela veut dire :

  • Notre soutien sans faille à la communauté
  • Un stand OWS sur l'événement, des offres d'emploi en ligne
  • Des collègues OWS que vous pourrez croiser et saluer lors de l'événement, il seront insatiables pour vous parler de Drupal 8 et et/ou de Scald si vous le souhaitez
  • Des goodies OWS dans votre sac de conférencier. Et cette année, nous avons tenu à rendre hommage à la région Nantaise et son Muscadet pour un goodie indispensable et inédit dans l'histoire des DrupalCamp.... Suprise le 10 juin

See you in Nantes (et pas à Beyrouth, les mélomanes comprendront) !

DrupalCamp : Paris 2013

DeFr
14/06/2013
Nous avons l'habitude de sponsoriser de nombreux événements Drupal (quelques exemples), mais lorsqu'ils se déroulent à Paris, nous nous devons de faire les choses en grand. Par conséquent, Open Web Solutions a décidé de s'investir sérieusement dans le Drupal Camp Paris, édition 2013.
logo drupal camp Paris

Nous avons l'habitude de sponsoriser de nombreux événements Drupal (quelques exemples), mais lorsqu'ils se déroulent à Paris, nous nous devons de faire les choses en grand. Par conséquent, Open Web Solutions a décidé de s'investir sérieusement dans le Drupal Camp Paris, édition 2013. Très concrètement, vous pourrez

  • Venir nous rencontrer sur notre stand tout au long des 3 jours de la conférence
  • Assister à l'une de nos conférences ou au sprint Scald
    • Le vendredi, de 17h à 17h45, Pierre T vous présentera quelques outils indispensables pour gérer votre projet sous Drupal
    • Le samedi, de 15h à 15h45, Sylvain vous expliquera pourquoi vous voulez utiliser Scald sur l'ensemble de vos projets pour gérer vos media, même si vous ne le savez pas encore. Tous les détails sur le site du DrupalCamp
    • Le samedi, de 16h20 à 17h05, Didier vous parlera de la mise en place de tests fonctionnels automatisés sur vos projets, via les technologies Behat et Mink. Pour plus de détails, c'est par là.
    • Le dimanche, de 10h à 12h, Pierre C vous montrera par la pratique comment construire un site media en 45 minutes. Les lecteurs les plus attentifs n'auront pas manqués de noter les 75 minutes d'écart entre la durée de la construction et la durée de la session, le but étant de multiplier les interactions avec l'audience pour aboutir à un résultat unique.
    • Le dimanche, à partir de 10h, Franck (c'est moi-même…) animera un sprint sur le module Scald
  • Repartir avec l'une des nos nombreuses surprises

A très vite au DrupalCamp !