drupal_Drupal安全性的当前状态

drupal

Greg Knaddison曾在大型咨询公司，精品软件公司，初创公司，专业服务公司以及Drupal安全团队负责人工作。 他目前是CARD.com的工程总监，也是Drupal协会的顾问委员会成员。

Michael Hess与密歇根大学信息学院和UM医学中心合作，教授有关内容管理平台的三门课程，并监督数百个校园网站的功能。 他在许多其他大学系中担任咨询和开发职务，并且是现任Drupal安全团队负责人。 他还就大型医学研究项目向BlueCross咨询。 Hess毕业于密歇根大学信息学院，拥有信息硕士学位。

格雷格·纳迪森（左）和迈克尔·赫斯（右）

在2015年DrupalCon演讲之前，我与Greg和Michael会面，讨论了来自外部库的安全公告管理，自动安全更新计划，代码审查，Drupal 8的期望以及他们对新手提出的任何建议。 Drupal。

您如何从纳入Drupal的外部库中管理安全公告？

我们有两种策略。 首先， 我们的总体政策是不应将第三方代码直接包含在Drupal.org存储库中，因此自2011年以来 ， 我们的建议是，各个网站所有者应了解自己对第三方代码的更新。 Drupal模块维护者可以做的一件事是添加一个hook_requirements来检查外部库的安装版本是否不安全，然后向站点管理员显示一条消息，让他们知道要升级。

其次，当发生异常时（例如Drupal核心），我们与库的作者一起工作以解决问题并协调发布。 例如，我们与Symfony项目的安全团队建立了工作关系，以协调的方式解决问题。 由于Drupal 8尚未普遍可用，因此我们还没有针对Symfony中的问题提供任何安全公告，但是我们将在Drupal 8.0.0发行后尽快提供。

Drupal中是否有计划进行自动安全更新？

这是社区正在谈论的事情 。 当然，通过自动执行安全更新，您会添加不同的风险。 更新Drupal代码有时需要手动更改，而这不能通过自动化来完成。 我们作为一个社区继续探索这一点。

存在一些替代解决方案，以可能更安全和可靠的方式实现该目标。 例如，一些专注于Drupal的托管公司将功能纳入其托管计划中，从而使测试和部署安全性发布变得非常容易。 也有可以雇用的咨询公司来为您监视安全发布并更新您的网站。 还有一个相对新颖的解决方案是Drop Guard ，它是一种基于规则的第三方服务，该服务与现有的托管和部署工​​具集成在一起以进行自动安全更新。 有关比较这些托管公司和服务提供商的详细信息，请参阅此Wiki页面上的服务提供商列表 ，这些列表使Drupal网站保持最新。

对于那些有兴趣为自己运行类似版本但正在运行未经修改的core / contrib版本的用户； 并drush up -y使用一些shell脚本的人，只需在cronjob内drush up -y 。 一个明显的改进是做同样的drush up -y测试环境内，进行自动测试，并且只有测试通过部署。

您对自动代码审查和渗透测试有何想法？

在今年的某个时候，将为所有项目启用基于Coder模块的自动代码审查。 但是，它将仅捕获模式匹配中容易发现的一些最常见问题。 它将错过更复杂且可能更具破坏性的问题。 总体而言，我们希望这种集成的代码质量检查将减少drupal.org上托管的模块中的安全问题（使项目更安全，并减少安全团队的工作）。 我们很高兴看到将Coder更紧密地集成到drupal.org后将对其进行哪些改进。

自动化的渗透测试结果往往会包含很多误报和遗漏实际问题。 Drupal安全团队会定期通过电子邮件发送PDF，以显示流行工具的结果，到目前为止，我还没有看到我真正喜欢的工具。 话虽如此，作为更全面审计的一部分，它们通常是一种具有成本效益的工具。

最有价值的结果来自专家的深入审查，该专家阅读代码，理解目的，使用真实站点的复制品，并可以提供有关如何解决或缓解问题的建议。

我们在Drupal 8中可以期待哪些新的安全功能？

这是我们计划在洛杉矶DrupalCon上 与Drupal建立安全站点的会议期间深入探讨的主题。

Drupal 8将使用一种称为Twig的模板语言来代替Drupal特定PHP模板系统。 这意味着我们模板中没有PHP代码。 Twig还​​提供了自动转义功能，以防止主题中的XSS漏洞。

在Drupal 7及更早版本中，第三方WYSIWYG在许多站点上的手动集成使不受信任的内容编辑器可以使用“完整HTML”文本格式，从而创建跨站点脚本漏洞。 在Drupal 8中，WYSIWYG内置了良好的默认设置，使WYSIWYG按钮与输入格式保持同步。 这样可以减少网站建设者意外使用Full HTML文本格式“使事情正常”并为XSS引入向量的可能性。

PHP模块已从核心中删除。 进行此更改有两个主要动机。 首先，此模块使站点管理员错误地向不受信任的用户打开PHP执行变得有点容易。 其次，如果攻击者要获得管理帐户的访问权限（通过嗅探会话或猜测弱密码），则攻击者可以使用PHP模块执行任意PHP代码。 Drupal 8站点将受到潜在威胁的方式更少。

Drupal 8在Drupal 8的路由系统中内置了CSRF令牌。从Drupal 4.6开始，有一些用于防止CSRF的简单函数： drupal_get_token和drupal_valid_token 。 如果某些代码需要，这些功能在Drupal 8中仍然可用，但是现在保护URL免受CSRF的影响甚至变得更加容易：路由的声明包含一个参数，指出是否应保护它-非常容易。

您将为实施安全性的Drupal项目的新站点所有者提供什么建议？

使您的网站保持最新。 订阅安全公告 RSS和邮件列表，或关注@drupalsecurity 。 安全性发布是在星期三进行的，因此请确保您的团队有计划并计划在站点上线后进行安全性升级的时间。 检查您的权限页面，并考虑使用诸如Security Review之类的工具来审核您站点的配置。

当然，在本届会议上，我们还将讨论许多其他小问题，包括在DrupalCon Los Angeles 与Drupal建立安全站点 。 如果您无法直接进行活动，则视频将在活动结束后不久发布到网站上。

DrupalCon 2015
演讲者访谈

本文是DrupalCon 2015 演讲者访谈系列的一部分。DrupalCon2015汇集了全球成千上万使用，开发，设计和支持Drupal平台的人。 它于2015年5月11日至15日在加利福尼亚州洛杉矶举行 。

翻译自: https://opensource.com/business/15/5/interview-Greg-Knaddison-Michael-Hess-Drupal

drupal