上海戴文 - Drupal开发专家

你在这里

Drupal安全吗?

原文地址 http://drupal.org/documentation/is-drupal-secure

Drupal有很好的安全跟踪记录,并且有组织的研究、验证、发布可能存在的安全问题。

Drupal安全小组与社区保持联系,以便于安全问题出现时提供解决方法。更多关于安全的问题可以参考本手册的相关章节。

任何一个使用Drupal的用户应当订阅安全问题邮件列表(通过编辑您的帐户资料)以接收最新的所有类型的安全公告(参看下边)。

常见问题:

开源软件安全吗?

简单来说,开源软件跟商业软件一样安全甚至比商业软件更安全(一般来说)。IBM的这篇文章对这个问题做了很好的总结:开源软件的安全性说明。为Drupal安全性增加了说服性的另一个原因是 白宫网站转向Drupal.

Drupal怎么样对待常见的安全问题

Drupal的API和默认的配置文件在默认状态下很安全。一些安全问题如注入、跨站脚本、Ses
sion管理,跨站伪造请求和其它所有的情况在Drupal API中都有相应的解决方法。查看详细
详细,请阅读Drupal安全报告

为什么Drupal拥有比其它项目更多(或更少)的安全报告?

安全报告的绝对数目(尤其是在包含贡献项目的时候)是一个完全没有意义的数字,并且永
远不应该被拿来比较。Drupal拥有超过4000个的贡献项目,它们的潜在漏洞都会被各自的用
户详细的检查,而且相对较小的问题都会被发布安全报告。

安全报告还会指出潜在问题的发现和解决方法。并且漏洞在修补方法被公布之前被公布的情
况很少出现。因此,最好的安全建议是使您所使用的Drupal核心代码和贡献模块保持更新。

在线网站中,被发现的漏洞都有哪些?

Drupal的专业安全审计网站发现大多数的安全漏洞(90%或更多)是在自定义主题或网站开>发人员写的模块中发现的这些代码没有经过像drupal.org网站接收到的代码那样经过用户的
考察。

另外,和Drupal漏洞尤其是Drupal核心代码的漏洞相比,服务器级别的漏洞(像使用不安全的协议,如FTP)是被成功攻击的主要方式。

要获得怎样管理Drupal安全的信息,请看Drupal管理手册的增强您网站的安全性章节.