Drupalのセキュリティ

Drupal

セキュリティはCMSの選定に当たって最も重視される要素の1つです。Drupalはオープンソースのソフトウェアで、誰でも使用できるコードベースがあり、自由に利用できます。現在、Drupal.orgは120万回のDrupalコアのインストールを報告しています。さらに、Drupalコミュニティには10万人以上の積極的な貢献者がいます。

Weather.comWhitehouse.govEconomist.comWholefoodsmarket.comBusiness.pinterest.comのようなサイトが採用しているという実績が、Drupalが最も安定、安全で信頼できるプラットフォームであることを証明しています。

 

Drupalを幅広いクライアントにとって最も安全な選択肢にするために、数々の取り組みが行われています。 Drupalのセキュリティを保証する活動をご紹介しましょう:

 

  • Drupal Security Team (Drupalセキュリティチーム)- Drupalのセキュリティチームは、報告されたセキュリティ上の問題の解決したり、貢献されたモジュールのメンテナーがコードを保護するのために手伝ったり、Drupalの開発者がより安全なコードを書くようにガイドを管理します。Drupalサイトを保護するためのベストプラクティスのドキュメントを提供し、drupal.orgインフラストラクチャを安全に保つのに役立ちます。

 

  • Security Working Group (セキュリティワーキンググループ) -セキュリティチームはセキュリティワーキンググループによって監督され、DrupalコアとDrupalの貢献したプロジェクトエコシステムのセキュリティを確保します。

 

  • Drupal Security Advisories (Drupalセキュリティアドバイザリー) -安定な貢献モジュールまたはDrupalコアのリリース用にセキュリティアップデートがリリースされると、セキュリティチームは公開アドバイザリを発行します。このアドバイザリーには、影響を受けるプロジェクトに関する情報、脆弱性の重大度を含みます。

 

  • Security advisory policy (セキュリティアドバイザリーポリシー) - セキュリティ勧告ポリシーは、Drupalセキュリティチームによって提唱された標準と一致しない寄稿モジュールによってDrupalコアの安全なリリースが妥協されないことを保証します。

 

  • Password Encryption (パスワード暗号化)- パスワードがDrupalのデータベースに保存されるたびに、パスワードは暗号化され、不明瞭になり、長くなりますのでデータベースに保存される前に無差別に行われるパスワード攻撃から保護されます。暗号化により、データベース内のユーザーの平文パスワードに直接アクセスする方法はなく、ハッシュホールトがサイトごとに一意であるので、パスワードを解読することは非常に困難です。

 

参照サイト:

Drupal security - Drupal secure

Drupal Security Team

Security Working Group

Security Advisory