私が働いている会社は、Tomcat、WebSphere、または WebLogic で実行される J2EE アプリケーションを販売しています。Tomcat と WebSphere のどちらにするかを決めようとしている顧客がいます。彼らは、Tomcat にはセキュリティ ホールが多いことを懸念して、WebSphere に傾倒しています。
Web を検索しても、主要な J2EE アプリケーション サーバーの堅牢性をセキュリティの観点から比較しているサイトや研究を見つけることができませんでした。
アプリ サーバーのセキュリティ ホールを比較した情報を教えてもらえますか?
あなたのクライアントが「Tomcat にはセキュリティ ホールが多いことを懸念している」というのは興味深いことです。彼らはそれらの穴が何であるかをリストできるのだろうか?それができない場合、それは伝聞と FUD です。
すべての Web サーバー/サーブレット エンジンが同じ問題を抱えていると言えます。本当のセキュリティ ホールを表すのは、それらに展開されるアプリケーションです。クロスサイト スクリプティング、SQL インジェクション、入力検証の欠如、不十分な階層化と慣行による機密データの公開 - これらはすべて、選択したアプリ サーバーに関係なく問題となるアプリケーションの問題です。
私の個人的な意見では、WebLogic は市場で最高の Java EE アプリケーション サーバーです。私は WebSphere を実際に体験したわけではありませんが、尊敬する人々は、これはホラー ショーだと言います。Tomcat はローカル開発にしか使用していません。失敗したことはありませんが、それは制作経験ではありません。私はそれがどのようにスケーリングするかわかりません。
Tomcat、Spring、および OSGi に基づく Spring の dm サーバーについては、慎重に検討したいと思います。ライバル各社の今後の方向性を表しているような気がします。
可能であれば、WebSphere で tomcat を使用することをお勧めします。
セキュリティの 99% は、すべてをどのように設定するかにかかっていると思います。
Apache HTTP Server、IBM HTTP Server、および IIS のセキュリティへの影響も評価していますか?
セキュリティには、Web アプリケーションを実行するアプリケーション サーバーを選択するだけではありません。
Websphere セキュリティ レポート(何が修正されたかを確認するには、各更新を掘り下げる必要があります)
私の経験では、WebSphere は仕様ではないものを追加していません (したがって、Tomcat である程度サポートされています)。問題は、より複雑なセキュリティ トリック (SecureID を使用した管理者認証など) を実行しようとしたときに発生し、さらに深く掘り下げる必要があります。WebSphere は、UI コンソールにより多くの機能を追加しようとします。
そうは言っても、あなたの会社は Glassfish でのテストを検討する必要があります。サーブレット コンテナーとして Tomcat を使用しますが、管理用にはるかに優れた UI を追加します。
この記事によると、WebSphere コミュニティの追加は、サーブレット エンジンに関しては Tomcat 5.5 と同じです。私の意見では、この決定は、認識されている「セキュリティ ホール」ではなく、必要な全体的な機能に基づいている必要があります。
いくつかの異なる調査で、Tomcat が最大規模の銀行を含む世界中の組織の 60% 以上で実行されていることが確認されています。他の人が言ったように、Tomcat のセキュリティは問題ではありません。「プレーン バニラ」Tomcat に欠けているのは、多くの企業がアクセス制御、診断、監視、アラート、およびプロビジョニングに必要とするコンソールと UI です。MuleSoft のTcat サーバーを確認してください。100% Tomcat (フォークなし) ですが、Tomcat を実行するためのエンタープライズ機能を備えています。
Tomcat を使用したことがなく、セキュリティ要件が何であるかを実際に定義していないため、どちらが優れているかはわかりません。セキュリティはかなり大きなものになる可能性があり、さまざまなレベルが関与します。そのため、どのセキュリティ機能が必要かを判断するためにも、明確に定義された要件が必要になります。
私たちは、他のいくつかの IBM 製品と統合された Websphere を使用して、アプリケーションへの安全なアクセスを提供しています。これは、これまでのところうまく機能しています。WebSphere にセキュリティーを追加するために、Webseal および Tivoli 製品ラインを調べることができます。