Các chuyên gia Đức đánh giá các hệ thống website nguồn mở

Germany's security experts rate open source website systems

Submitted by Gijs Hillenius on October 31, 2013

Theo: https://joinup.ec.europa.eu/community/osor/news/germanys-security-experts-rate-open-source-website-systems

Bài được đưa lên Internet ngày: 31/10/2013

Các cơ quan hành chính nhà nước có thể chuyển qua các hệ thống quản trị nội dung nguồn mở, Văn phòng Liên bang về An ninh Thông tin (Federal Office for Information Security) của Đức kết luận. Trong tháng 6 nó đã xuất bản một nghiên cứu xem xét sự an toàn của 5 trong số các hệ thống nguồn mở phổ biến nhất, Drupal, Plone, WordPress, Joomla và TYPO3. Về chức năng và độ phức tạp đạt được, các CMS đó là sự lựa chọn tốt cho một nhà cung cấp dịch vụ.

Public administrations can turn to open source content management systems, concludes Germany's Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik, BSI). In June it published a study looking at the safety of five of the most popular open source systems, Drupal, Plone, WordPress, Joomla and TYPO3. In functionality and the resulting complexity, these CMSs are 'a good choice for a service provider'.

“Tất cả các hệ thống được xem xét đưa ra một sự phong phú về tính năng, những cải tiến và các mức cấu hình”.

An ninh của các hệ thống nguồn mở được đánh giá tích cực, không CMS nào nên được những người sử dụng không có kinh nghiệm quản lý, báo cáo cảnh báo. Có một sự ganh đua liên tục giữa các đội an ninh có liên quan trong các hệ thống đó và những người khác cố gắng khai thác chúng. “Số lượng và tần suất của các chỗ bị tổn thương được xuất bản đòi hỏi khoảng 15 phút cho mỗi CMS mỗi ngày, để xác định các vấn đề, tiến hành bảo vệ và áp dụng các bản vá”.

Các cơ quan hành chính nhà nước sử dụng các hệ thống quản trị nội dung nguồn mở tưởng thưởng những lợi ích của các kiểm thử cao hơn đáng kể và các rủi ro thấp hơn đáng kể các chỗ bị tổn thương chưa được phát hiện so với một ứng dụng web chuyên dụng, theo nghiên cứu.

An ninh phù hợp

Một trong các tác giả của nghiên cứu, Malgorzata Mochól, một nhà tư vấn cho nhà cung cấp dịch vụ CNTT-TT Đức Init, đầu tháng này đã xuất bản một tóm tắt trên site của Kommune21, một xuất bản phẩm tin tức về CNTT nhằm vào các cơ quan hành chính nhà nước. Phát hiện chính của nghiên cứu, bà viết, là tất cả các hệ thống quản trị nội dung nguồn mở có một mức an ninh phù hợp và một qui trình sửa các chỗ bị tổn thương được chứng minh.

Các nghiên cứu xem xét tính hữu dụng của 5 CMS để sử dụng cho 4 trường hợp: một sự kiện riêng tư, site của một cơ quan hành chính nhỏ của nhà nước, website của một tỉnh nhỏ và các site của các công ty kích cỡ vừa với nhiều địa điểm khác nhau. Đối với từng kịch bản trong số đó, các tác giả kết luận, các hệ thống đó là hữu dụng.

"All considered systems offer a wealth of features, enhancements and configuration levels."

The security of open source systems is evaluated positively, yet none of the CMSs should be run by inexperienced users, the report warns. There is a permanent rivalry between the security teams involved in the systems and others trying to exploit them. "The number and frequency of published vulnerabilities require about 15 minutes per CMS per day, to identify issues, make safeguards and apply patches."

Public administrations using these open source content management systems enjoy the benefits of significantly higher tests and significantly lower risks of undiscovered vulnerabilities than a specialized web application, according to the study.

Adequate security

One of the authors of the study, Małgorzata Mochól, a consultant for the German ICT service provider Init, earlier this month published a summary on the site of Kommune21, an IT news publication focussing on public administrations. The central finding of the study, she writes, is that all open source content management systems have an adequate level of security and a proven process to fix vulnerabilities.

The studies considers the usefulness of the five CM systems for four use cases: a private event, the site of a small public administration, the web site of a small town and the sites of mid-sized companies with multiple locations. For each of these four scenarios, the authors conclude, these systems are useful.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com