Germany's
security experts rate open source website systems
Submitted by Gijs
Hillenius on October 31, 2013
Bài được đưa lên
Internet ngày: 31/10/2013
Các
cơ quan hành chính nhà nước có thể chuyển qua các hệ
thống quản trị nội dung nguồn mở, Văn phòng Liên bang
về An ninh Thông tin (Federal Office for Information Security) của
Đức kết luận. Trong tháng 6 nó đã xuất bản một
nghiên cứu xem xét sự an toàn của 5 trong số các hệ
thống nguồn mở phổ biến nhất, Drupal, Plone, WordPress,
Joomla và TYPO3. Về chức năng và độ phức tạp đạt
được, các CMS đó là sự lựa chọn tốt cho một nhà
cung cấp dịch vụ.
Public
administrations can turn to open source content management systems,
concludes Germany's Federal Office for Information Security
(Bundesamt für Sicherheit in der Informationstechnik, BSI). In June
it published a study looking at the safety of five of the most
popular open source systems, Drupal, Plone, WordPress, Joomla and
TYPO3. In functionality and the resulting complexity, these CMSs are
'a good choice for a service provider'.
“Tất cả các hệ
thống được xem xét đưa ra một sự phong phú về tính
năng, những cải tiến và các mức cấu hình”.
An ninh của các hệ
thống nguồn mở được đánh giá tích cực, không CMS nào
nên được những người sử dụng không có kinh nghiệm
quản lý, báo cáo cảnh báo. Có một sự ganh đua liên tục
giữa các đội an ninh có liên quan trong các hệ thống đó
và những người khác cố gắng khai thác chúng. “Số
lượng và tần suất của các chỗ bị tổn thương được
xuất bản đòi hỏi khoảng 15 phút cho mỗi CMS mỗi ngày,
để xác định các vấn đề, tiến hành bảo vệ và áp
dụng các bản vá”.
Các cơ quan hành chính
nhà nước sử dụng các hệ thống quản trị nội dung
nguồn mở tưởng thưởng những lợi ích của các kiểm
thử cao hơn đáng kể và các rủi ro thấp hơn đáng kể
các chỗ bị tổn thương chưa được phát hiện so với
một ứng dụng web chuyên dụng, theo nghiên cứu.
An ninh phù hợp
Một trong các tác giả
của nghiên cứu, Malgorzata Mochól, một nhà tư vấn cho nhà
cung cấp dịch vụ CNTT-TT Đức Init, đầu tháng này đã
xuất bản một tóm tắt trên site của Kommune21, một xuất
bản phẩm tin tức về CNTT nhằm vào các cơ quan hành
chính nhà nước. Phát hiện chính của nghiên cứu, bà
viết, là tất cả các hệ thống quản trị nội dung
nguồn mở có một mức an ninh phù hợp và một qui trình
sửa các chỗ bị tổn thương được chứng minh.
Các nghiên cứu xem
xét tính hữu dụng của 5 CMS để sử dụng cho 4 trường
hợp: một sự kiện riêng tư, site của một cơ quan hành
chính nhỏ của nhà nước, website của một tỉnh nhỏ và
các site của các công ty kích cỡ vừa với nhiều địa
điểm khác nhau. Đối với từng kịch bản trong số đó,
các tác giả kết luận, các hệ thống đó là hữu dụng.
"All
considered systems offer a wealth of features, enhancements and
configuration levels."
The
security of open source systems is evaluated positively, yet none of
the CMSs should be run by inexperienced users, the report warns.
There is a permanent rivalry between the security teams involved in
the systems and others trying to exploit them. "The number and
frequency of published vulnerabilities require about 15 minutes per
CMS per day, to identify issues, make safeguards and apply patches."
Public
administrations using these open source content management systems
enjoy the benefits of significantly higher tests and significantly
lower risks of undiscovered vulnerabilities than a specialized web
application, according to the study.
Adequate
security
One
of the authors of the study, Małgorzata Mochól, a consultant for
the German ICT service provider Init, earlier this month published a
summary on the site of Kommune21, an IT news publication focussing on
public administrations. The central finding of the study, she writes,
is that all open source content management systems have an adequate
level of security and a proven process to fix vulnerabilities.
The
studies considers the usefulness of the five CM systems for four use
cases: a private event, the site of a small public administration,
the web site of a small town and the sites of mid-sized companies
with multiple locations. For each of these four scenarios, the
authors conclude, these systems are useful.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.