Drupal的安全性与Plone相比如何?
如果比较包括Drupal的V.7和Plone的V.4,那将会很棒。
由于
答案 0 :(得分:14)
很好地概述了Plone如何处理Web应用程序世界中的十大安全问题:
http://plone.org/products/plone/security/overview
联邦调查局,中央情报局和欧洲网络与信息安全局(ENISA)等组织都使用Plone,如果这是一个迹象。
Plone在任何主要CMS的安全性方面都有最佳记录,我们非常重视。我们有一个围绕沙盒,适当的ACL和强大的安全模型构建的架构。
Drupal有一个非常可怕的安全记录(参见另一条评论中引用的CVE编号),其他两个主要的基于PHP的框架(Wordpress和Joomla)也是如此。 Plone是基于Python的,但你可能已经知道了。
Plone使得编写安全附加组件变得更容易,因为我们有一个适当的安全模型,这使得编写本质上不安全的代码变得非常困难。这与其他系统不同,是另一个核心差异化因素。
(是的,这个答案有偏见,我是其中一位创始人;)
答案 1 :(得分:3)
在搜索“CVE”官方常见漏洞数据库时,您会得到以下数据:
过去3年:plone 8,drupal 282。
过去3个月:plone 0,drupal 9
plone的基本架构显然更加安全。实际上,我不知道drupal,但我知道plone。没有sql注入错误,因为它背后有一个非sql对象数据库。它是一个长期运行的python程序,基本上不是PHP脚本,这使得更容易拥有一个更难以破解或错误处理的良好的可靠安全机制。
(注意:我只是在http://web.nvd.nist.gov/view/vuln/search进行了一次简单的关键字搜索。并不是我看到的drupal的所有结果都可以归结为drupal,似乎有一些os级别的漏洞在搜索中以某种方式出现结果)。
答案 2 :(得分:2)
主要框架的安全性在两种情况下都非常可靠;问题几乎总是在附加模块中找到,因此您需要评估计划单独使用的每个模块。
答案 3 :(得分:1)
在相同的指标上比较Plone和Drupal很困难。 CVE并不是最终的比较,它可以证明它甚至是多么有价值,作为软件相对安全性的指示。在那些282个Drupal CVE中,Drupal核心有多少个?不是282。
Limi可以争辩说架构更安全,并指出Plone对OWASP Top Ten的回应。 Drupal也可以这样做。和谁“使用它”的论点?好吧,whitehouse.gov使用Drupal,以及许多其他政府和“企业”组织。答案 4 :(得分:0)
使用Drupal的开发人员有几个数量级;发现的漏洞数量越多,就越容易归因于更多人在寻找漏洞。通过默默无闻,这些统计数据很容易成为安全。