Drupal有安全方面的一个很好的记录,并有一个有组织的过程进行调查,核实,并发布可能存在的安全问题。
Drupal的安全团队经常与社区合作来解决安全问题时。阅读更多关于确保你的网站。
安全团队的成员有时分析核心或贡献的项目代码,尤其是如果有一个弱点,可以通过简单的扫描发现,但一般团队不审查核心或贡献代码。
任何使用Drupal应该订阅的安全邮件列表(编辑您的帐户资料)为了自动跟上最新的安全公告所有类型(见下文)。
常见问题
开放源码软件安全吗?
简短的回答是,开放源代码软件安全或更安全的(一般)比专有软件(如知名度的源代码是戒备森严的重重限制)。有关问题的一个很好的总结可以在本文从IBM发现:开放源码软件的安全性的影响。使用开源安全增加了引用的一个原因白宫转向Drupal。
Drupal是如何解决常见的安全漏洞
Drupal的API和默认配置的设计是安全的使用时,它们的默认模式。如注入,跨站脚本,会话管理,跨站请求伪造,和其他人,都有标准的解决方案,在Drupal API。为主题的更详细的审查,请阅读Drupal安全报告。
为什么Drupal有更多(或更少)的安全公告比另一个项目?
不像许多专利项目与股权的商业信誉和认证公司所有,社区驱动的开源项目,比如Drupal没有动机隐藏的安全漏洞,甚至可能的漏洞。社会的最佳利益,比任何商业意义是透明的和潜在的安全问题更重要。
安全警告的绝对数量(尤其是包括了项目)是一个数字没有意义,不应该被用于比较的目的。Drupal有超过29000的贡献,被他们的用户的任何项目潜在的的问题,和安全顾问可能是一个相对较小的发行。更多信息请阅读安全风险水平。
安全顾问还指出一个潜在问题的发现,而且解决问题已经。这是非常罕见的,这样的安全漏洞被利用在野外安全固定在安全公告公布之前。因此,你最重要的保护是保持Drupal至今每当安全顾问发出的Drupal核心或贡献代码你使用。
在直播网站,什么漏洞被发现和利用呢?
Drupal网站专业的安全审计,通常发现的安全漏洞的绝大多数(90%以上)在自定义主题或网站的开发人员编写的模块。代码没有得到所有的代码在Drupal.org所述接收相同的公众监督。
此外,在服务器级别的问题(如使用不安全的协议,如FTP)更有可能成为一个成功的攻击手段比Drupal的一个漏洞,特别是在Drupal核心。
关于如何在Drupal管理安全,看确保你的网站在Drupal管理指南部分。