我想发布指向Secunia搜索结果的链接,以证明某些CMS(或博客软件)的不安全性(以数字表示)。
请参阅What are some of Drupal's shortcomings?
但这个答案有一个有趣的评论:
同样重要的是要注意到这一点 Secunia只发布漏洞 明确宣布的报告。 我使用过其他CMS软件包 重要的安全修复程序 没有公告的小版本 一点都不Drupal有一个15人的团队 审查核心和所有3500插件 并正式宣布安全 补丁,无论多么微小,如同 政策问题。
在比较内容管理系统时,是否有任何研究或文章将此考虑在内?
答案 0 :(得分:3)
我有少量书签(like this one by my coworker)的文章,但他们几乎都是人们捍卫自己选择的CMS而不是指责安全性差。 (我在你的帖子中发表评论!)其中一个困难是,我认为没有人能解决什么构成“合理的比较” - 每个人都对一个糟糕的比较感到恼火,但在任何人都无法决定什么之前就会徘徊一个公平的竞争环境是。
有些事情很突出,大多数“快速概述”都错过了:
也许这个主题是一个集体讨论什么可以构成一个好的比较研究的好地方?
更新 - 一位同事对Secunia产生了相反的挫败感:第三方针对OSS项目提交的报告不准确且错误。显然,Secunia拒绝更新或修改它们。这是一个有用的服务或公告,但我听到的一切让我畏缩使用它们进行比较。
答案 1 :(得分:1)
使用这些Secunia搜索的另一个主要问题是它们包括所有提供的模块以及Drupal Core,即使特定公告,即使特定security announcement可能适用于about 30 people使用的模块
除了按类型和严重程度划分的漏洞外,您还需要考虑“核心”与“附加”模块以及偶尔将多个漏洞放入单个公告(经常发生)的做法。
我的感觉是,伊顿公司的一些政策措施比具体数量或漏洞严重程度更重要。
我要添加到该列表中的最后一个好措施是过去X年中漏洞被公开披露而没有任何项目修复的月份。这种情况很少见,但却是真正失败的安全过程的标志。