信息图：Drupal 如何结合开源、开放和安全

Drupal 是一个庞大的软件项目，无论从哪个角度衡量都是如此，成千上万的开发者为其编写代码，并在其上部署网站和应用程序。与 Linux、Apache 和 Mozilla 一起，它是世界上最大的开源项目之一。这张信息图有助于解释 Drupal 安全团队的重要工作。

谁需要保护？为什么需要保护？世界最大的开源 CMS 如何结合开放性和安全性。

Drupal 自创建以来，在十年间已经从宿舍走向董事会。它为全球成千上万的企业、政府、大学和其他机构的网站提供支持。现在为 Drupal 开发代码意味着编写的代码可能在任何这些网站上使用。无论代码来自充满热情的业余爱好者还是全职专业人士，Drupal 的代码都必须满足银行、医疗保健提供商和政府非常严格的安全要求，同时还要领先于那些试图入侵这些系统的人一步。

安全性和开源是携手并进的

Drupal 的安全流程确实需要快速而谨慎地执行，以帮助在问题变得广为人知或被利用之前修复它们。尽管如此，安全性和开源是携手并进的——这对于那些认为“隐蔽式安全”实际上有效的人来说可能是一个惊喜。隐藏在专有许可或编译代码背后，并希望没有人注意到尚未解决的安全漏洞，这无疑是灾难的根源。让您的代码对任何人开放可以大大提高安全性——任何人都可以发现并修复问题。与成千上万的开发者社区合作可以成倍地增加好处；任何人的错误修复也会变成您已修复的错误。来自世界各国政府和大型公司的安全专家定期审查 Drupal 的代码库，并认为它足够安全，可以用于他们的关键任务应用程序。

工作在安全问题出现之前就开始了——积极的安全意识

不安全的代码通常从一开始就存在缺陷。开发人员应该遵循最佳实践，将绝大多数安全问题扼杀在萌芽状态。因此，Drupal 安全团队不懈地带头努力教育和帮助 Drupal 社区预防安全问题的发生。他们在 Drupal 社区活动和会议上进行演示和培训，举办网络研讨会，编写免费的在线文档，并维护一个公共小组来讨论与 Drupal 安全相关的问题。

哪些是受支持的？Drupal 核心和稳定版本模块

Drupal 安全团队协助处理 Drupal 项目及其贡献的插件模块中的绝大多数安全问题。“开发”版本的模块是一个例外；没有受支持的稳定版本（“1.0”、“2.1”等）的模块无法获得安全团队的监督。如果您正在考虑为关键应用程序使用只有“开发”或“beta”版本的模块，请鼓励模块维护者创建稳定的、受支持的“x.0”版本。

关于 Drupal 安全团队

Drupal 项目于 2005 年正式成立了安全团队，并定期轮换团队领导。代码通常不会“突然变得不安全”，但有些问题可能很微妙且难以发现。新技术的兴起可能会以新的方式使问题显现出来。大量的技能、知识和经验投入到使 Drupal 尽可能安全的工作中。Drupal 安全团队现在是一个成熟的、多元化的团队，目前由大约 40 位世界领先的网络安全专家组成（他们都不是机器人，尽管他们技术精湛且效率很高）。他们监控和分析“前线”出现的问题，并努力提高 Drupal 项目的安全性。团队成员是来自 3 个大陆国家的敬业志愿者，包括比利时、加拿大、英国、法国、德国、匈牙利、爱尔兰、日本和美国的居民。该团队的成员来自咨询公司、Drupal 服务提供商、政府承包商和 Drupal 的最终用户，包括非营利组织、营利组织和教育机构。

安全发布流程

1.  代码中发现漏洞。 漏洞猎手无处不在！任何人都可以向团队报告安全问题，包括团队本身、模块维护者、更广泛的 Drupal 社区、对 Drupal 感兴趣的安全研究人员以及您。要报告问题，请阅读并遵循 drupal.org 上的如何报告安全问题。
2.  问题私下报告给安全团队。 安全问题应保密处理。唯一的例外是，如果漏洞需要高级权限或访问权限才能利用——例如，管理过滤器或用户的能力。在这些情况下，安全团队鼓励模块维护者公开修复这些问题，因为它们本身并不构成威胁，并且在实施后会进一步加强系统。有关更多详细信息，请参阅Drupal 安全公告政策。
3.  问题得到审查，评估对所有受支持的 Drupal 版本的潜在影响。 在任何给定时间，都有两个主要发布系列（6.x、7.x 等）受支持。您应该始终运行并更新到您正在使用的系列的最新版本。有关更多详细信息，请参阅选择 Drupal 版本。
4.  如果威胁有效，则动员安全团队进行分析。通知维护者。
5. 维护者修复问题。安全团队提供支持。 维护者、测试人员和其他感兴趣的各方被授予对私有、安全的问题跟踪器的访问权限，以协作解决问题。
6. 修复方案经过审查和讨论。 重复步骤 4 到 6，直到安全团队和模块维护者对安全问题已得到解决感到满意。
7. 创建并测试代码补丁。 对新代码进行测试，以确保它不会引入其他安全问题或破坏相关模块。
8. 在 Drupal.org 上提供新的、已修复的版本
9. 通过网站、新闻通讯、RSS、Twitter、社交媒体等编写和发布安全公告。 注册 Drupal.org 上的 Drupal 安全新闻通讯。在 Twitter 上关注 @drupalsecurity。关注以下核心 RSS 提要：http://drupal.org/security/rss.xml 和贡献模块：http://drupal.org/security/contrib/rss.xml
10. 在新版本部署到所有站点。 您 Drupal 站点上的“可用更新”报告（位于 Drupal 6.x 和 7.x 中的 admin/reports/updates）将告诉您您的 Drupal 核心和贡献模块版本是否为最新，并为您提供任何新版本的下载链接和发行说明。更新不是自动的，需要定期执行以保持您的代码为最新，并使您的站点尽可能安全。

如果您的 Drupal 站点被黑客入侵或篡改

帮助阻止这种不幸的事件发生在其他人身上！尽管无法协助处理个别案例，但安全团队希望了解您的经验，以便更好地保护整个 Drupal 社区。您可以使用页面 “我的站点被篡改了。现在怎么办？” 上的模板，让他们知道发生了什么事。

资源

有关更深入的信息，请阅读 Drupal 安全报告，网址为 http://drupalsecurityreport.org。

所有当前的安全公告以及有关如何订阅 Drupal 安全新闻通讯、联系安全团队等的信息都列在 http://drupal.org/security。

• 安全配置 http://drupal.org/security/secure-configuration
• 编写安全代码 http://drupal.org/writing-secure-code
• 安全团队概述，包括如何联系团队和报告问题 http://drupal.org/security-team
• Drupal 安全书籍 http://crackingdrupal.com/
• Drupal Scout 知识库，网址为 http://drupalscout.com/
• 安全主题讨论组 http://groups.drupal.org/best-practices-drupal-security
• 报告安全问题 http://drupal.org/node/101494
• 如果您的站点被黑客入侵或篡改 http://drupal.org/node/213320

感谢

首先，我们衷心感谢 Drupal 安全团队的志愿者们。我们非常感谢您对 Drupal、我们的安全以及良好运行的网络的奉献。

特别感谢 Drupal 安全团队负责人 Greg Knaddison，感谢您的见解和帮助，使这一切都正确！

还要感谢 mogdesign 和 Acquia 帮助解释这个复杂而重要的过程。

广而告之

信息图“保持 Drupal 安全 - Drupal 安全发布的十个步骤”根据 Creative Commons Attribution-NoDerivs 3.0 Unported License 获得许可。下载它并广而告之。

最初出现在 acquia.com 上。