我喜欢发布指向 Secunia 搜索结果的链接,以(以数字形式)展示某个 CMS(或博客软件)的不安全性。
但是这个答案有一个有趣的评论:
伊顿:
还需要注意的是,Secunia 仅发布明确宣布的漏洞报告。我与其他 CMS 软件包合作过,这些软件包在次要版本中添加了重要的安全修复,根本没有任何公告。Drupal 有一个 15 人的团队,负责审查核心和所有 3500 个插件,并根据政策正式宣布安全补丁,无论多么小。
在比较内容管理系统时,是否有任何研究或文章考虑到这一点?
stesch
问问题
420 次
2 回答
3
我有少量文章加了书签(比如我同事的这篇),但它们几乎都是由人们为他们选择的 CMS 辩护,以免受到安全性差的指控。(包括我自己在您的帖子中的评论!)其中一个困难是,我认为没有人已经解决了构成“合理比较”的问题——每个人都对不好的比较感到恼火,但在任何人确定什么之前就走开了一个公平的竞争环境。
大多数“快速概述”都错过了几件事:
- 产品开发团队的安全策略
- 负责安全的特定人员或团队(取决于项目的规模)的存在。显然,项目中的每个人都应该关心
- 是否有针对第三方开发人员的书面安全最佳实践
- 按类型和严重性比较漏洞
也许这个线程将是一个集思广益的好地方,什么将构成一个好的比较研究?
更新- 一位同事对 Secunia 有相反的挫败感:第三方针对 OSS 项目提交的不准确和错误的报告。Secunia 显然拒绝更新或修改它们。这是一项有用的服务或公告,但我听到的一切都让我在使用它们进行比较时感到畏缩。
于 2009-01-19T01:07:28.063 回答