Drupal mempunyai sejarah rekod yang paling baik dari segi keselamatan, dan mempunyai organisasi yang menguruskan perihal berkaitan dengan penyiasatan, pengesahan dan menerbitkan penyelesaian masalah-masalah keselamatan.

Badan keselamatan Drupal begitu konsisten bekerja bersama-sama dengan komuniti Drupal.org melibatkan isu-isu berkaitan dengan keselamatan apabila ianya timbul. Terdapat beberapa artikel dan kandungan berkaitan dengan perkara ini dimuatkan dalam tutorial di setiap bahagian.

Kepada semua pembangun laman dengan Drupal dinasihatkan untuk melanggan berita mengenai keselamatan (mengaktifkannya di bahagian akaun anda di Drupal.org) bagi membolehkan anda senantiasa mendapat maklumat terbaru mengenai semua kemas kini terakhir.

Perkara-perkara yang sering menjadi persoalan mengenai Drupal adalah:

Adakah sumber terbuka selamat?

Jawapan yang terbaik adalah sumber terbuka adalah selamat atau mungkin lebih selamat berbanding perisian berbayar. Untuk menjawab persoalan ini dengan mendalam, anda boleh merujuk kepada satu artikel yang ditulis oleh pihak IBM: The security implications of open source software. Buat pengetahuan semua, untuk membuktikan bahawa Drupal begitu selamat apabila laman White House menggunakan Drupal.

Bagaimana Drupal menangani masalah keselamatan

API Drupal dan konfigurasi asas dibina dan terbina untuk menjaga keselamatannya apabila digunakan pada konfigurasi asal. Isu seperti suntikan (SQL Injection), Cross site scripting (XSS) (Cross-site Scripting (XSS)), pengurusan sessi pengguna, Cross Site Request Forgeries dan lain-lain telah dijaga sepenuhnya menerusi API Drupal.

Mengapakah Drupal mempunyai ramai (atau kurang) penasihat keselamatan berbanding projek yang lain

Bilangan mutlak untuk penasihat keselamatan (terutamanya melibatkan pembangunan modul-modul tambahan) sebenarnya tidak mencerminkan keutuhan sesuatu projek dan tidak boleh digunakan sebagai pembandingan. Drupal sehingga kini mempunyai 10,000 lebih bilangan modul yang dibangunkan yang mana sepenuhnya dipertanggungjawab kepada penulis itu sendiri. Manakala penasihat keselamatan bertugas untuk membantu dan menganalisa masalah-masalah minor (terutamanya pelepasan kandungan terkawal kepada umum).

Penasihat keselamatan juga bertindak untuk mengkaji dan meneliti setiap kemungkinan masalah yang dikesan sama ada belum atau telah diselesaikan. Belum pernah terjadi isu keselamatan yang diselesaikan dan disahkan oleh pihak penasihat ini berjaya ditembusi menerusi cara yang sama. Oleh itu, sebagai langkah pencegah awal, anda dinasihatkan untuk menggunakan dan mengemas kini setiap versi (Drupal, modul, templat) kepada versi yang terkini.

Pada laman sebenar, apakah jenis ancaman yang ditemui atau dihadapi?

Pihak pakar keselamatan yang melakukan audit terhadap Drupal mendapati majoriti dan faktor terbesar (90% atau lebih) yang menyumbang kepada bukaan ancaman laman datangnya daripada modul tambahan dan templat yang ditulis secara sendiri oleh pihak pembangun laman. Kod-kod tersebut tidak melalui proses saringan oleh komuniti dan Drupal.org.

Tambahan, masalah juga hadir daripada faktor keselamatan hos pelayan itu sendiri (seperti penggunaan perisian FTP tanpa sambungan terkawal) yang menyumbang kepada bukaan kepada ancaman daripada luar terutamanya kepada teras Drupal.

Penilaian: 
5
Average: 5 (1 vote)