QGIS er den mest populære open-source GIS-platform og bruges af offentlige institutioner, virksomheder og private. Som med al anden software er det vigtigt at holde din installation opdateret for at minimere risikoen for sikkerhedsproblemer. I dette blogindlæg ser vi nærmere på anbefalinger til sikkerheden i QGIS - herunder hvor du følge med i sikkerhedssårbarheder, og hvordan du holder din QGIS-installation opdateret.

Følg med i kendte sikkerhedssårbarheder

“The QGIS community takes security seriously. We are aware that QGIS is deployed in sensitive environments.” Citat fra QGIS’ officielle supportside.

QGIS-projektet tager sikkerhed alvorligt, og på QGIS’ sikkerhedsside kan du læse mere om, hvordan udviklerne håndterer sikkerheden i QGIS. Du kan finde information om:

  • Hvordan du rapporterer en potentiel sikkerhedssårbarhed
  • Hvordan du hånterer falsk positive svar fra sårbarhedsscannere
  • Generelle principper for sikkerhedsarbejdet i QGIS

Hvis du vil følge med i kendte sikkerhedssårbarheder, kan du følge ‘OSGeo’ som CVE-vendor her. På denne side kan du holde øje med kendte risici i open-source GIS-komponenter som fx GDAL, der bruges i QGIS.

Hold din QGIS-installation opdateret

At holde QGIS opdateret er en vigtig del af sikkerheden. Fremgangsmåden afhænger af dit operativsystem.

Opdatering af QGIS på Linux:

Arbejder du på linux-baserede systemer, er det nemt at holde din QGIS-installation opdateret. Dette gør du ved brug af de indbyggede pakke-managers.

Opdatering af QGIS på Windows:

På Windows kan det være lidt mere kompliceret at holde QGIS opdateret. Generelt anbefalelses det, at QGIS vedligeholdes centralt i organisationen, hvor den installeres og testes i et sikkert miljø inden der rulles opdateringer ud til brugerne.

Hvis du installerer QGIS med standalone installeren, er du nødt til at udskifte din installation af QGIS manuelt for at hente sikkerhedsopdateringer. Dette kan være en noget omstændig proces, da der frigives sikkerhedsopdateringer og bux-fixes en gang om måneden.

Har du i stedet brugt OsGeo4W-installeren til din QGIS-installation, så kan du løbende opdatere QGIS-version, uden at skulle af-installere. Den er ligeledes i stand til at lave partielle opdateringer, så hele installationspakker ikke behøves at blive gen-hentet ved opdateringer. Det kan du læse mere om her.

Med OsGeo4W-installeren er det også muligt at få overblik over, hvilke elementer i QGIS installationen, der bør opdateres.

OsGeo4w-installation
Med OsGeo4W-installeren kan du opdatere din QGIS-installation uden at skulle af-installere. Her ses dialogen, hvor du kan angive, hvilke elementer du ønsker at opdatere.

Central administation af QGIS-installation

Administreres QGIS centralt i organisationen, kan denne online-opdatering være problematisk. I stedet kan IT-driften downloade og kontrollere de forskellige opdateringer.

Det er muligt at hente alle pakkerne ned uden at installere disse. Herved bliver det muligt at lave en kontrolleret installation af QGIS i et sikkert miljø, hvor installationens kommunikation og ændringer i registreringsdatabase m.m. kan overvåges.

Når installationen er verificeret, kan de opdaterede pakker derefter lægges ud til brugerne. Den enkelte bruger kan derefter køre OsGeo4W installeren, der peger på de sikkerheds-scannede pakker fra en lokal placering.

OsGeo4w-installation kan hente sikkerhedsscannede pakker fra en lokalplacering
Med OsGeo4W-installeren kan den enkelte bruger hente sikkerhedsscannede pakker fra en lokal placering.

Sikkerhed i forhold til plugins

Muligheden for at hente plugins, der udvider funktionaliteten i QGIS giver stor fleksibilitet - men udgør også en potentiel risiko.

Hvis du vil begrænse denne risiko, så er anbefalingen, at du bør begrænse muligheden for at hente ukendte plugins. Dette kan gøres ved at oprette dit eget plugin repository, hvor du kun lægger plugins, der have været igennem et sikkerheds-review. Ved at bruge et internt plugin-repository kan du således kontrollere og godkende de plugins, som dine brugere har adgang til. Du kan læse mere om, hvordan du opretter dit eget plugin repo her.

Strategi for opdatering

Ligesom med operativsystemet, så er det nødvendigt at have en strategi for opdatering og vedligeholdelse af QGIS. Vi har i denne blog set på, hvordan QGIS.org anbefaler, at du kan skabe processer omkring QGIS, der kan gøre, at du kan holde applikationen opdateret og mindske sikkerhedsrisici gennem forældede installationer.

Snart kommer QGIS 4.0, hvilket også har fordele i forhold til sikkerheden. De bagvedliggende libraries bliver opdateret til nyere versioner, hvilket både forbedrer performance og sikkerhed.

Kontakt os gerne, hvis du vil høre mere om, hvordan vi kan hjælpe dig med rådgivning, kurser og support til QGIS.