Ploneのセキュリティに関するデータを知って驚いた

| 0件のコメント

Plone 4 Advent Calendar の第13日目です。
これまでのPlone 4 Advent Calendarの記事を見てみるとカスタマイズやプロダクトなどの技術的な話題がほとんどですね。今日は少し趣向を変えてPloneのセキュリティについてのデータをご紹介します。

先日ちょっと調べごとをしていて plone.orgで こんな記事を見つけました。

Security overview of Plone

著者は Plone founderのひとりAlex Limi 氏。この記事の前半はWebアプリケーションによくある10のセキュリティ脆弱性と、それにPloneがどのように対処しているかをまとめています。

今日ご紹介するのはこの後に書かれている後半部分。(前半もいずれ紹介しますね)”Security track record” のパート。

セキュリティリスクの測定や数値化は難しい – セキュリティはプロダクトではなくプロセスであり、このために継続的な警戒とセキュリティレビューを伴った適正なコーディング規則の遵守が必要だ。
そんな中で、セキュリティ関係の問題を追跡し記録していくための主要な情報源であるMITREの Common Vulnerabilities and Exposures データベースへの脆弱性報告の件数は、興味深い尺度のひとつだ。

とした上で、2011年3月30日にNational Vulnerability Database を検索した結果として、以下の数字が挙げられています。
検索語と、それに対するヒット数。カッコ内は過去3年に限った数値とのことです。

Plone/Zope/Python系:

  • Ploneを含む CVE脆弱性報告の数 : 13 (9)
  • Zopeを含む CVE脆弱性報告の数 : 27 (9)
  • Pythonを含む CVE脆弱性報告の数 : 111 (65)

PHP系:

  • Drupalを含む CVE脆弱性報告の数 : 371 (269)
  • Joomlaを含む CVE脆弱性報告の数 : 653 (441)
  • MySQLを含む CVE脆弱性報告の数 : 282 (84)
  • Postgreを含む CVE脆弱性報告の数 : 82 (22)
  • PHPを含む CVE脆弱性報告の数 : 18,859 (5,813)

その他:

  • Perlを含む CVE脆弱性報告の数 : 3,835 (1,780)

これを見ると、言語としてのPython, CMSアプリとしてのZope/Ploneはケタ違いに脆弱性報告が少ないことがわかります。いやービックリ。

もちろん、インストールされてる数もケタが違う、というのはありますし著者ご本人も書いているとおりこの数値が何かを証明するわけではないのですが、ひとつの傾向を示す数値としてCMSを選定する際にも参考になるのではないでしょうか。

ちなみにMITRE’s Common Vulnerabilities and Exposures (CVE) というのは、MITRE http://www.mitre.org/ という1958年に創設された非営利の組織の運営するアメリカのセキュリティ脆弱性情報のデータベースのようです。

というわけで今日のAdvent Calendarの記事はおしまい。なんとか間に合ったかな。

コメントを残す