Drupal 的安全性与 Plone 相比如何？

Question

Drupal 的安全性与 Plone 相比如何？

注意：

如果比较包括 Drupal 的 V.7 和 Plone 的 V.4，那就太好了。

谢谢

Answer 1

这里很好地概述了 Plone 如何处理 Web 应用程序世界中的十大安全问题：

http:// /plone.org/products/plone/security/overview

FBI、CIA 和欧洲网络与信息安全局 (ENISA) 等组织都在使用 Plone（如果有迹象表明的话）。

Plone 在所有主要 CMS 中拥有最好的安全记录，我们对此非常重视。我们拥有一个围绕沙箱、适当的 ACL 和强大的安全模型构建的架构。

Drupal 的安全记录非常糟糕（请参阅另一条评论中引用的 CVE 数字），其他两个主要的基于 PHP 的框架（Wordpress 和 Joomla）也是如此。 Plone 是基于 Python 的，但您可能已经知道了。

Plone 使编写安全的附加组件变得更加容易，因为我们有一个适当的安全模型，使得编写本质上不安全的代码变得非常困难。这与任何其他系统不同，也是另一个核心差异化因素。

（是的，这个答案有偏见，我是创始人之一；）

Answer 2

在这两种情况下，主框架的安全性都相当可靠；问题几乎总是出现在附加模块中，因此您需要单独评估计划使用的每个模块。

Answer 3

在搜索“CVE”官方常见漏洞数据库时，您会得到以下数字：

最近3年：plone 8，drupal 282。

最近3个月：plone 0，drupal 9

plone的基本架构显然更加安全。事实上，我不知道drupal，但我知道plone。不存在 sql 注入错误，因为其背后有一个非 sql 对象数据库。基本上，它是一个长时间运行的 python 程序，而不是 PHP 脚本，这使得更容易拥有一个更难以破坏或误处理的良好可靠的安全机制。

（注：我只是在 http://web.nvd.nist 上进行了简单的关键字搜索。 gov/view/vuln/search 并不是我看到的所有 drupal 结果都可以归因于 drupal，似乎有一些操作系统级别的漏洞以某种方式出现在搜索结果中。

Answer 4

很难在同等指标上比较 Plone 和 Drupal。 CVE 并不是最终的比较，而且作为软件相对安全性的指示，它的价值甚至是有争议的。在这 282 个 Drupal CVE 中，有多少是针对 Drupal 核心的？不是 282。limi

可以辩称该架构更安全，并指出 Plone 对 OWASP 前十名的回应。 Drupal 也可以做同样的事情。还有“谁使用它”的争论？嗯，whitehouse.gov 使用 Drupal，以及大量其他政府和“企业”组织。

Answer 5

使用 Drupal 的开发人员数量增加了几个数量级；发现的漏洞数量较多也很容易归因于更多的人费心寻找它们。这些统计数据很容易通过默默无闻来保证安全。