Действительно ли в Plone нет дыр в безопасности, как предполагает вики-статья?
Согласно этой вики-статье (главе):
Http://en.wikipedia.org/wiki/Plone_ (программное обеспечение)#фокус_в_безопасности
С 2010 года не было ни одной уязвимости.
Верно ли это, и Plone является наиболее безопасным (среди сравниваемых CMS)?
3 answers
Уязвимости обнаруживаются либо пользователем, либо исследователями безопасности, которые хотят сделать себе имя. Взаимосвязь между количеством найденных пользователей/уязвимостей является лишь частью всего уравнения. Большинство уязвимостей обнаруживаются специалистами по безопасности или хакерами. Для них WordPress - самый прибыльный "приз", который может объяснить цифры.
Это также означает:
А. Несмотря на немедленную реакцию на эти статистические данные, WP более безопаснее, чем кажется, потому что обнаруженные уязвимости часто исправляются.
Б. Злонамеренные хакеры не будут публиковать эксплойты, которые они используют, по крайней мере, у них не было "веселья". Например, недавняя уязвимость Plesk была объявлена в июне, но здесь, в Incapsula, мы блокируем такую атаку с февраля. (по общим правилам) В этом отношении Plone может быть гораздо менее безопасным, чем кажется...
С. Если вы используете популярную CMS, которой уделяется много внимания, вам всегда следует держите его в актуальном состоянии, потому что есть много людей, которые будут использовать автоматизацию для "вылавливания" вновь обнаруженных уязвимостей. Хорошим примером здесь является TimThumb. Мысль, обнаруженная еще в 2011 году, мы все еще видим МНОЖЕСТВО сканеров TimThum, бродящих по сети, и можно только предположить, что они продолжают это делать, потому что они продолжают обнаруживать новые цели.
Единственное, в чем вы можете быть уверены, так это в том, что не существует программного обеспечения такого рода без некоторых уязвимостей. CMS, даже простая, слишком сложна, чтобы быть свободной от каких-либо проблем, ошибок или слабых мест.
Что вы действительно можете прочитать из списка, который вы связали, так это то, что об уязвимостях не сообщалось. Это не значит, что их нет. Можно предположить, что чем популярнее CMS, тем чаще она подвергается атакам. Но атака означает обнаружение дыр в системе безопасности, так что популярность CMS будет коррелировать с количеством обнаруженных ошибок.
В целом: Неспособность увидеть или найти что-либо не означает, что этого не существует.
Как сказал Майкл в своем ответе, популярность, конечно, является большим фактором. Это относится не только к самим CMSS, но и к стеку, на котором они построены. Joomla!, Drupal и Wordpress, безусловно, являются наиболее используемыми CMSS на рынке и построены на PHP, безусловно, наиболее используемом языке для веб-приложений, в то время как Plone используется менее чем.1 % сайтов (по данным w3tech), и построен на Python.
Следующим фактором является версия CMS, для которой сообщается об уязвимостях. Очень часто проблемы связаны с устаревшими версиями, которые больше не поддерживаются.
Другим фактором является расположение уязвимостей. Они расположены в основной CMS или в расширениях? Чем больше расширений имеет CMS, тем больше проблем будет учитываться для CMS в целом.
- Drupal имеет около 7000 расширений для текущих версий (7 или 8). Вместе с расширения для устаревших версий в списке 23 000 расширений.[1]
- Wordpress утверждает, что имеет около 26 000 расширений[2]. Из-за политики Wordpress должна быть возможность использовать расширения со всеми версиями.
- Joomla! имеет около 7000 расширений для текущих версий (2.5, 3.1)[3]. Номера расширений для устаревших версий недоступны, но их можно рассчитать с 15 000 из них.
- Plone перечисляет около 180 расширений для текущая версия, плюс около 2000 для более старых версий[4].
Допустим, существует одна проблема безопасности на 1000 расширений в год. Затем, для текущих версий, вы ожидали бы этот дистрибутив уязвимостей за последний год:
Drupal 7
Wordpress 26
Joomla! 7
Plone 0
, что в значительной степени соответствует последней колонке опубликованного вами снимка экрана. Однако число для Drupal намного выше. Это может быть вызвано тем фактом, что вам придется переделывать все с нуля для новой версии, поэтому также возможны старые сбои переделанный.
Источники: [1] Модули Drupal [2] Плагины Wordpress [3] Каталог расширений Joomla [4] Продукты Plone