
<div dir="auto">Hi all<div dir="auto"><br></div><div dir="auto">The problem is still vtiger open source is not maintained sufficiently by the community. It is still highly coherent to it's on demand version.</div><div dir="auto"><br></div><div dir="auto">I feel it would be better to make it more community contributed while keeping top level moderators from vtiger.  </div><div dir="auto"><br></div><div dir="auto">I am referring fedora project here</div><div dir="auto"><br></div><div dir="auto">"<span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)">The </span><b style="margin:0px;padding:0px;border:0px;line-height:inherit;font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;vertical-align:baseline;background:none rgb(255,255,255);color:rgb(34,34,34)">Fedora Project</b><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)"> is a project sponsored by </span><a href="https://en.m.wikipedia.org/wiki/Red_Hat" style="margin:0px;padding:0px;border:0px;line-height:inherit;font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;vertical-align:baseline;background:none rgb(255,255,255);text-decoration-line:none;color:rgb(90,54,150)">Red Hat</a><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)"> primarily to co-ordinate the development of the </span><a href="https://en.m.wikipedia.org/wiki/Linux" style="margin:0px;padding:0px;border:0px;line-height:inherit;font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;vertical-align:baseline;background:none rgb(255,255,255);text-decoration-line:none;color:rgb(90,54,150)">Linux</a><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)">-based </span><a href="https://en.m.wikipedia.org/wiki/Fedora_%28operating_system%29" style="margin:0px;padding:0px;border:0px;line-height:inherit;font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;vertical-align:baseline;background:none rgb(255,255,255);text-decoration-line:none;color:rgb(90,54,150)">Fedora</a><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)"> </span><a href="https://en.m.wikipedia.org/wiki/Operating_system" style="margin:0px;padding:0px;border:0px;line-height:inherit;font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;vertical-align:baseline;background:none rgb(255,255,255);text-decoration-line:none;color:rgb(90,54,150)">operating system</a><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)">, operating with the vision that the project "creates a world where free culture is welcoming .................</span></div><div dir="auto"><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)">Red Hat employees make up only 35% of project contributors, and most of the over 2,000 contributors are unaffiliated members of the community</span><span style="color:rgb(34,34,34);font-family:"helvetica neue",helvetica,"nimbus sans l",arial,"liberation sans",sans-serif;font-size:16px;background-color:rgb(255,255,255)"><br></span></div><div dir="auto">" - wiki</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Thanks</div><div dir="auto">Sutharsan jeganathan</div><div dir="auto"><br></div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Apr 23, 2018, 9:23 PM Chris Thompson <<a href="mailto:cthompson@moderas.org">cthompson@moderas.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div><br></div><div id="m_5511138975533560960AppleMailSignature">While I think the tone of this email is a bit aggressive I do find the comments valuable (and terrifying).  To date the tenor of this list has been shall we say "we're working on it" with no clear roadmap that at least I can follow. It's seemed a little rudderless at times. I feel if the vtiger team engaged a little more situations like this might be avoided. </div><div id="m_5511138975533560960AppleMailSignature"><br></div><div id="m_5511138975533560960AppleMailSignature">I'll add the timelines stated might be a little unreasonable as others besides you might like their issues worked on. <br><br>Sent from my iPhone</div><div><br>On Apr 23, 2018, at 10:07 AM, Błażej Pabiszczak <<a href="mailto:b.pabiszczak@yetiforce.com" target="_blank" rel="noreferrer">b.pabiszczak@yetiforce.com</a>> wrote:<br><br></div><blockquote type="cite"><div>

<p>@Prasad</p>

<p>Who is all this marketing spam for? Security, safety, and data privacy aren’t your priorities. If that were the case you’d have a different approach for all these years. If we cared about publicity we’d post all these errors to CVE and LinkedIn, in large groups that have 100k-200k members, like the Open Source group. For now we just want to embarrass you, so that you get stuff done.</p>

<p>The majority of the errors that we’re going to publish will be sent to you earlier [what email address should we send it to?] so you have some time to fix them; depending on the type of an error it will be 7,14, or 21 days. If you don’t fix them [like coreBOS does] then we’ll stop reporting them to you and you will find out about them on the day we publish the articles.</p>

<p>Please don’t try to convince people that this system is safe because it isn’t. You’re not in touch with any security consultants; if you are you should change them. You’ve never had a decent security audit, and even if there was any it must’ve been short and a very long time ago.</p>

<p>I’ll tell you how things are right now:</p>

<ol>

<li>You don’t follow any standards as far as creating software is concerned, eg. PSR</li>

<li>You don’t analyze the code statically improving it according to current standards, eg.: <a href="https://insight.sensiolabs.com/," rel="noreferrer noreferrer" target="_blank">https://insight.sensiolabs.com/,</a><span> </span><a href="https://scrutinizer-ci.com/," rel="noreferrer noreferrer" target="_blank">https://scrutinizer-ci.com/,</a><span> </span><a href="https://sonarwhal.com/" rel="noreferrer noreferrer" target="_blank">https://sonarwhal.com</a><span> </span></li>

<li>You have no unit/automatic tests.</li>

<li>You don’t follow OWASP ASVS guidelines</li>

<li>You don’t fix errors, you suppress them instead, and compatibility with the latest PHP versions is done with as little effort as possible.</li>

<li>You don’t know what libraries you use, many of them have security errors. It took us several months to clean up and update libraries, how long will it take you?</li>

<li>You don’t know under what license your libraries are, you still use GPL/AGPL in your system.</li>

</ol>

<p>And what does the security look like? It’s terrible, believe me. Please provoke me [block me here for example] or keep saying that the system is safe, then I’ll do what I don’t have time to do; I’ll write a few dozen articles, each with critical security vulnerabilities. Please tell your community:</p>

<ol>

<li>When are you going to update libraries to the latest versions? The’re full of holes! Eg.: jQuery 2.1.1 [CVE-2015-9251, CVE-2016-10707].</li>

<li>When are you going to move key files away from public_html?</li>

<li>When are you going to start checking permissions to each module, action, record; instead of what you do now, which is creating dozens of weird exceptions that lower the security level?</li>

<li>When are you going to properly [and centrally] check/clean data sent in request [especially when it comes to HTML files]</li>

<li>When are you going to verify security and quality of the addons in  <a href="https://marketplace.vtiger.com/app/listings" rel="noreferrer noreferrer" target="_blank">https://marketplace.vtiger.com/app/listings</a><span><span> </span>because the products available there aren’t under any control.</span></li>

<li>When are you going to present the results of security audits performed by a reputable company that specializes in web applications?</li>

</ol>

<p>Every week we’ll publish 1-2 articles related to coreBOS/Vtiger/VTE/SuiteCRM/EPESI, I hope you change your approach and start improving the core of your system.</p>

<div>---<br>

<p>Z poważaniem / Regards</p>

<div>

<div><strong>Błażej Pabiszczak</strong></div>

<div>M: +48.884999123<br>E: <a title="Mail do Błażej Pabiszczak" href="mailto:b.pabiszczak@yetiforce.com" rel="noreferrer noreferrer" target="_blank">b.pabiszczak@yetiforce.com</a></div>

</div>

</div>

<p><br></p>

<p>W dniu 2018-04-20 13:44, Prasad napisał(a):</p>

<blockquote type="cite" style="padding:0 0.4em;border-left:#1010ff 2px solid;margin:0">

<div dir="ltr">

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I hope you are following issue tracker as well.</div>

</div>

<div class="gmail_extra"><br clear="all">

<div>

<div class="m_5511138975533560960gmail_signature">

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">--</div>

<div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a style="color:#0000cc" href="http://www.facebook.com/vtiger" target="_blank" rel="noreferrer">FB</a> I </span><a style="color:#0000cc" href="http://twitter.com/vtigercrm" target="_blank" rel="noreferrer">Twit</a> I <a style="color:#0000cc" href="https://www.linkedin.com/company/1270573?trk=tyah" target="_blank" rel="noreferrer">LIn</a> I <a style="color:#0000cc" href="https://blogs.vtiger.com" target="_blank" rel="noreferrer">Blog</a> I <a style="color:#0000cc" href="https://www.vtiger.com/" target="_blank" rel="noreferrer">Website</a></div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<br>

<div class="gmail_quote">On Fri, Apr 20, 2018 at 5:11 PM, socialboostdk <span><<a href="mailto:socialboostdk@gmail.com" target="_blank" rel="noreferrer">socialboostdk@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">+1

<div> </div>

<div>Also avoid using users email to hash passwords. Its crap + means that you cannot change email without also changing password...</div>

</div>

<div class="gmail_extra"><br>

<div class="gmail_quote">

<div>

<div class="m_5511138975533560960h5">On 20 April 2018 at 13:31, Conrado Maggi <span><<a href="mailto:comaggi@gmail.com" target="_blank" rel="noreferrer">comaggi@gmail.com</a>></span> wrote:</div>

</div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div class="m_5511138975533560960h5">

<div dir="ltr">Basically, Not doing this: <a style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px" href="https://unsecure.blog/en/114-vtigercrm-storing-passwords-in-md5.html" target="_blank" rel="noreferrer">https://unsecure.blog/en/114-vtigercrm-storing-passwords-in-md5.html</a><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px"> </span>

<div><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px"> </span></div>

<div><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px">Conrado</span></div>

</div>

<div class="gmail_extra"><br>

<div class="gmail_quote">

<div>

<div class="m_5511138975533560960m_5439000999589711979h5">On Fri, Apr 20, 2018 at 12:22 PM, Prasad <span><<a href="mailto:prasad@vtiger.com" target="_blank" rel="noreferrer">prasad@vtiger.com</a>></span> wrote:</div>

</div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div class="m_5511138975533560960m_5439000999589711979h5">

<div dir="ltr">

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Thank you for the references. We are in touch with few wise security advisories as well.</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif"> </div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">The intent behind the post was to raise the awareness of quality of information that need to be exchanged</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">when understanding the security issue.</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif"> </div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Regards,</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Prasad</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif"> </div>

</div>

<div class="gmail_extra"><br clear="all">

<div>

<div class="m_5511138975533560960m_5439000999589711979m_7948517322867671089m_-2987375863098724244gmail_signature">

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">--</div>

<div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a style="color:#0000cc" href="http://www.facebook.com/vtiger" target="_blank" rel="noreferrer">FB</a> I </span><a style="color:#0000cc" href="http://twitter.com/vtigercrm" target="_blank" rel="noreferrer">Twit</a> I <a style="color:#0000cc" href="https://www.linkedin.com/company/1270573?trk=tyah" target="_blank" rel="noreferrer">LIn</a> I <a style="color:#0000cc" href="https://blogs.vtiger.com" target="_blank" rel="noreferrer">Blog</a> I <a style="color:#0000cc" href="https://www.vtiger.com/" target="_blank" rel="noreferrer">Website</a></div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<div>

<div class="m_5511138975533560960m_5439000999589711979m_7948517322867671089h5"><br>

<div class="gmail_quote">On Fri, Apr 20, 2018 at 3:20 PM, IT-Solutions4You <span><<a href="mailto:info@its4you.sk" target="_blank" rel="noreferrer">info@its4you.sk</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I found this interesting project<br> <a href="https://hacktrophy.com/en/price-ethical-hacking/" target="_blank" rel="noreferrer">https://hacktrophy.com/en/price-ethical-hacking/</a><br> <br> I think to contact them for scanning vtiger. Maybe you(vtiger) can cooperate, basically it's your software ;-)<br> <br> Matus<br> <br> Dňa 20. 4. 2018 o 10:54 Prasad napísal(a):<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div class="m_5511138975533560960m_5439000999589711979m_7948517322867671089m_-2987375863098724244h5">Dear members,<br> <br> Security and Data-Privacy is our top priority.<br> <br> Without providing much details citing security concern on public channels is more like whistleblowing, which does no good but creates suspicion in those who aren't full aware of the details.<br> <br> If you are aware of a security risk or suspect a possible hole that<br> can give attacker ability to gain customer data, please feel to reach to us<br> with complete details or file the issue on our tracker to keep our community informed.<br> <br> Regards,<br> Prasad<br> <br> </div>

</div>

_______________________________________________<br> <a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a><br> </blockquote>

<br> <br> _______________________________________________<br> <a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a></blockquote>

</div>

</div>

</div>

</div>

</div>

</div>

_______________________________________________<br> <a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a></blockquote>

</div>

</div>

</div>

</div>

_______________________________________________<br> <a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a></blockquote>

</div>

</div>

<br>_______________________________________________<br> <a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a></blockquote>

</div>

</div>

<br>

<div class="m_5511138975533560960pre" style="margin:0;padding:0;font-family:monospace">_______________________________________________<br> <a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a></div>

</blockquote>


</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span><a href="http://www.vtiger.com/" target="_blank" rel="noreferrer">http://www.vtiger.com/</a></span></div></blockquote></div>_______________________________________________<br>

<a href="http://www.vtiger.com/" rel="noreferrer noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>