1.8 Drupal 是否安全
Drupal拥有优秀的安全机制,它对安全问题进行跟踪记录,并组织人员调查、验证、处理安全问题。
Drupal的安全团队经常与Drupal社区一起工作以共同解决Drupal安全问题。Drupal安全团队的成员会对Drupal核心或贡献项目代码进行分析,以及时发现潜在的安全问题。
使用Drupal的任何人都可以订阅Drupal安全邮件,以便于及时查看安全问题及其更新。
开源软件的安全性
开源软件比私用软件更加安全,开源软件的安全问题更容易发现并修复。这是一篇来自IBM的文章’开源软件的安全性’总结了开源软件安全相关的问题。另外美国白宫的官方网站使用的是Drupal系统。
Drupal如何处理常见的安全漏洞
Drupal的API和默认配置是安全的。像注入式攻击、跨站点脚本攻击、会话管理、跨站点请求伪造等问题,在Drupal中这些问题都有完美的解决方案。详情请阅读Drupal的安全报告。
不像其它的商业私有项目,Drupal作为一个社区驱动的开源项目,没有理由掩盖任何安全漏洞或潜在的安全问题。社区的贡献远比商业影响更重要。安全报告的数量不适于比较,Drupal有超过29000的贡献项目,它们的用户检验着它们的安全问题,一个安全公告可能仅仅是公布一个小问题。详情请阅读安全风险等级。
一个安全公告指出了一个潜在的安全问题,并且这个问题已经被处理。一个安全问题在修复前被人利用,这是极其罕见的。因此你只需保持最新的Drupal核心和贡献项目就已经很安全了。
据Drupal专业统计,90%以上的安全问题是来自于自定义主题或自定义模块,这些代码并没有提交给drupal.org进行管理,没有受到公众的监督。
另外,对服务器的攻击不一定与Drupal有关,可能是你服务器的软件不够健状,又或者是服务器的安全设置没做好。