Secunia の検索結果へのリンクを投稿して、特定の CMS (またはブログ ソフトウェア) がどれほど安全でないかを (数字で) 実証するのが好きです。
Drupal の欠点のいくつかを参照してください。
しかし、この回答には興味深いコメントがありました。
イートン:
Secunia は、明示的に発表された脆弱性レポートのみを発行することに注意することも重要です。私は、重要なセキュリティ修正をマイナー リリースに組み込んでいる他の CMS パッケージを使用してきましたが、アナウンスはまったくありませんでした。Drupal には 15 人のセクション チームがあり、コアと 3500 のすべてのアドオンをレビューし、ポリシーの問題として、どんなに小さなものでも、セキュリティ パッチを公式に発表します。
コンテンツ管理システムを比較する際にこれを考慮した研究や記事はありますか?
私は少数の記事をブックマークしています (私の同僚によるこの記事のように) が、それらのほとんどは、選択した CMS を不十分なセキュリティの非難から擁護する人々によるものです。(あなたの投稿に私自身のコメントが含まれています!) 困難の 1 つは、何が「合理的な比較」を構成するかを誰も解決していないと思うことです。平等な競技場です。
ほとんどの「簡単な概要」が見落としている点がいくつかあります。
おそらく、このスレッドは、優れた比較研究を構成するものをブレインストーミングするのに適した場所でしょうか?
更新- ある同僚が Secunia に対して反対の不満を抱いていました: サードパーティが OSS プロジェクトに対して提出した不正確で誤ったレポートです。どうやら Secunia は、それらの更新または修正を拒否しているようです。これは便利なサービスやアナウンスですが、私が耳にするすべてのことを聞くと、それらを比較のために使用することにうんざりします.
これらの Secunia 検索を使用する際のもう 1 つの大きな問題は、特定のセキュリティ アナウンスが約 30 人によって使用されるモジュールに対するものである場合でも、特定のアナウンスが行われる場合でも、Drupal Core とともに提供されたすべてのモジュールが含まれることです。
タイプと重大度による脆弱性に加えて、「コア」モジュールと「アドオン」モジュール、および複数の脆弱性を 1 つのアナウンスに入れる場合があること (よくあること) も考慮する必要があります。
私の感じでは、Eaton のポリシーに関する対策のいくつかは、脆弱性の特定の数や深刻度よりも重要です。
そのリストに追加する最後の適切な尺度は、プロジェクトからの修正なしで脆弱性が公開された過去 X 年間の数か月です。これはめったにありませんが、セキュリティ プロセスが本当に失敗したことを示しています。