我喜欢发布指向 Secunia 搜索结果的链接,以(以数字形式)展示某个 CMS(或博客软件)的不安全性。
见What are some of Drupal's shortcomings?
但是对这个答案有一个有趣的评论:
同样重要的是要注意 Secunia 只发布漏洞 明确公布的报告。 我使用过其他 CMS 软件包 包含重要的安全修复程序 没有公告的次要版本 一点也不。 Drupal 有一个 15 人的团队 审查核心和所有 3500 个插件 并正式宣布安全 补丁,无论多么小,作为 政策问题。
在比较内容管理系统时是否有任何研究或文章考虑到这一点?
【问题讨论】:
标签: security content-management-system
我有少量文章已添加书签 (like this one by my coworker),但它们几乎都是由人们为他们选择的 CMS 进行辩护,以免受到安全性差的指控。 (包括我自己在您的帖子中的评论!)其中一个困难是,我认为没有人已经解决了构成“合理比较”的问题——每个人都对不好的比较感到恼火,但在任何人确定什么之前就走开了一个公平的竞争环境。
有几件事是大多数“快速概述”所遗漏的:
也许这个帖子是一个集思广益的好地方,什么才是好的比较研究?
更新 - 一位同事对 Secunia 有相反的挫败感:第三方针对 OSS 项目提交的不准确和错误的报告。 Secunia 显然拒绝更新或修改它们。这是一项有用的服务或公告,但我听到的所有内容都让我畏缩不前,无法使用它们进行比较。
【讨论】:
使用这些 Secunia 搜索的另一个主要问题是它们包括所有贡献的模块以及 Drupal Core,即使特定的公告即使特定的 security announcement 可能是 about 30 people 使用的模块。
除了按类型和严重性划分的漏洞之外,您还需要考虑“核心”与“附加”模块以及偶尔将多个漏洞放入单个公告中的做法(经常发生)。
我的感觉是,伊顿的一些政策措施比具体的漏洞数量或严重程度更重要。
我要添加到该列表中的最后一个好的衡量标准是在过去 X 年中的几个月,其中一个漏洞被公开披露,而项目没有任何修复。这种情况很少见,但表明安全过程确实失败了。
【讨论】: