Любые исследования по безопасности различных CMS?

Question

Мне нравится размещать ссылки на результаты поиска Secunia, чтобы продемонстрировать (в цифрах), насколько небезопасна определенная CMS (или программное обеспечение для ведения блогов).

См. Каковы недостатки Drupal?

Но к этому ответу был интересный комментарий:

Итон :

Также важно отметить, что Secunia только публикует уязвимости отчеты, которые явно объявлены. Я работал с другими пакетами CMS что подправить важные исправления безопасности в второстепенные релизы без анонсов совсем. Drupal имеет 15-ти человекую команду который рассматривает ядро ​​и все 3500 аддонов и официально объявляет о безопасности патчи, какими бы незначительными, как вопрос политики.

Существуют ли какие-либо исследования или статьи, которые учитывают это при сравнении систем управления контентом?

Answer 1

У меня есть небольшое количество статей, добавленных в закладки (, как это написано моим коллегой ), но почти все они - люди, защищающие свою CMS по своему выбору от обвинений в плохой безопасности. (Мой собственный комментарий в вашем посте включен!) Одна из трудностей состоит в том, что я не думаю, что кто-то сгладил то, что представляет собой «разумное сравнение» - все раздражаются из-за плохого сравнения, но уходят, прежде чем кто-то может определить, что уровень игрового поля.

Несколько вещей выделяются, что большинство "быстрых обзоров" пропускают:

• Политика безопасности команды разработчиков продукта
• Наличие конкретного человека или команды (в зависимости от размера проекта), ответственного за безопасность. Все на проекте должны заботиться, очевидно,
• Существуют ли документированные рекомендации по безопасности для сторонних разработчиков
• Сравнение уязвимостей по типу и серьезности

Возможно, эта тема была бы хорошим местом для мозгового штурма, что БЫЛО составило бы хорошее сравнительное исследование?

Обновление - У коллеги возникло противоположное разочарование по поводу Secunia: неточные и ошибочные отчеты, поданные третьими сторонами в отношении проекта OSS. Secunia отказывается обновлять или исправлять их, по-видимому. Это полезный сервис или объявления, но все, что я слышу, заставляет меня съеживаться, используя их для сравнения.

Answer 2

Другая серьезная проблема с использованием этих поисков Secunia состоит в том, что они включают все добавленные модули вместе с Drupal Core, даже когда конкретное объявление, даже если конкретное объявление безопасности может быть для модуля, используемого около 30 человек .

В дополнение к уязвимостям по типу и серьезности, вам также необходимо учитывать модули «ядро» и «надстройка» и практику случайного размещения нескольких уязвимостей в одном объявлении (часто случается).

Мне кажется, что некоторые меры Eaton по политике важнее, чем конкретные цифры или серьезность уязвимостей.

Последняя хорошая мера, которую я бы добавил в этот список, - это месяцы за последние X лет, когда уязвимость была публично раскрыта без какого-либо исправления из проекта. Это редко, но является признаком действительно неудачного процесса обеспечения безопасности.