Warum Drupal sicher ist

Heute werden Millionen von Websites mit Drupal erstellt, und diese Zahl nimmt stetig zu. Der wichtigste Unterschied von Drupal zu anderen Content-Management-Systemen ist nicht nur, dass es ein CMS (Content Management System) ist, sondern auch, dass es ein leistungsstarkes Framework ist. Mit Drupal können nicht nur einfache Websites, sondern auch komplexe Webanwendungen erstellt werden. Ein weiteres Merkmal, das Drupal stark macht, ist die aktive Entwicklergemeinschaft. Obwohl Drupal von Dries Buytaert entwickelt wurde, einem Open-Source-Content-Management-System, haben später Tausende von Drupal-Freiwilligen am Projekt mitgearbeitet. Darüber hinaus wird Drupal von vielen Unternehmen in Europa und Amerika aktiv unterstützt, die Drupal-Dienstleistungen anbieten. Die Stärken von Drupal beschränken sich jedoch nicht nur darauf. Im Vergleich zu anderen CMS ist Drupal auch in Bezug auf Sicherheit deutlich stärker.

Aber warum ist Drupal sicher? Innerhalb von Drupal gibt es jedes Jahr ein Sicherheitsteam (Drupal Security Team), das durch Auswahl bestimmt wird. Diese Team ist dafür verantwortlich, alle Sicherheitslücken zu koordinieren, ihre Behebung sicherzustellen und diese Informationen mit der Community zu teilen.

Wie im obigen Diagramm dargestellt, wird eine Sicherheitslücke entweder von Endbenutzern oder einem Mitglied des Drupal Security Teams gemeldet. Die gemeldete Lücke wird vom Sicherheitsteam überprüft, ihre Auswirkungen werden ermittelt und falls es sich tatsächlich um eine Lücke handelt, wird das Entwicklerteam des entsprechenden Moduls darüber informiert. Nach der Meldung einer Sicherheitslücke läuft der gesamte Prozess vertraulich ab, und die Lücke wird dem Entwicklerteam des Moduls mitgeteilt. Das Team, das das Modul entwickelt, arbeitet in enger Zusammenarbeit mit dem Drupal Security Team zusammen, um die Lücke zu schließen. Bei Bedarf unterstützt das Drupal Security Team das Entwicklerteam bei der Schließung der Lücke. Das aktualisierte Projekt wird erneut vom Sicherheitsteam überprüft, und wenn die Aktualisierung genehmigt wird, wird das entsprechende Projekt auf drupal.org aktualisiert und die Sicherheitslücke mit der gesamten Community geteilt. Schließlich aktualisieren die Website-Administratoren das entsprechende Projekt auf ihren Webseiten. Dies ist eine kurze Zusammenfassung des Ablaufs des Drupal Security Teams.

Wer bestimmt dieses Team? Die Drupal Association wählt jedes Jahr Mitglieder für verschiedene Verwaltungsebenen aus, und das Sicherheitsteam wird während dieses Auswahlprozesses festgelegt. Das Sicherheitsteam hat eine Struktur wie folgt:

• Security Team Lead (1)
• Security Team Coordinators (3)
• Weekly Security Team Responders

Offensichtlich ist es nicht nur das Vorhandensein eines Sicherheitsteams, das Drupal sicher macht, sondern auch Tausende von Drupal-Freiwilligen, die Drupal aufgrund der Philosophie der freien Software noch sicherer machen. Stellen Sie sich vor, der von einem Programmierer geschriebene Code wird von Tausenden anderer Programmierer gelesen und analysiert... Wenn dies der Fall ist, können wir sagen, dass Drupal viel sicherer ist als geschlossene Software wie andere freie Software.

Allerdings kann man natürlich nicht sagen, dass jede freie Software sicher ist. Wenn Sie zum Beispiel Joomla verwenden, stoßen Sie wahrscheinlich auf viel mehr Sicherheitslücken und Ihre Seiten können gehackt werden. Ein weiterer Grund, der Drupal sicher macht, ist die Architektur der Software selbst, so dass Drupal aufgrund seiner Struktur sicherer ist als andere Systeme.

Abschließend empfehlen wir Ihnen, die unten stehenden Ressourcen zu nutzen;

• https://twitter.com/drupalsecurity
• http://drupalsecurityreport.org
• http://radar.oreilly.com/2009/10/whitehouse-switch-drupal-opensource.html