このwiki記事(章)によると:
http://en.wikipedia.org/wiki/Plone_(software)#Focus_on_Security
2010年以降、単一の脆弱性はありません。
これは本当ですか?Ploneは(比較されるCMSの中で)最も安全ですか?
脆弱性は、ユーザーまたは自分で名前を付けようとしている調査済みのセキュリティによって発見されます。検出されたユーザー/脆弱性の数の間の相関関係は、方程式全体の一部にすぎません。ほとんどの脆弱性は、セキュリティの専門家またはハッカーによって発見されています。彼らにとってWordPressは最も有利な「賞」であり、数字を説明できます。
これが意味することは:
A.これらの統計に対する即時の反応にもかかわらず、WPは見た目よりも安全です。発見された脆弱性には多くの場合パッチが適用されるためです。
B.悪意のあるハッカーは使用するエクスプロイトを公表しません。少なくとも「楽しみ」はありません。たとえば、最近のPleskの脆弱性は6月に発表されましたが、ここIncapsulaでは2月からそのような攻撃をブロックしています。 (一般的な規則による)この点で、Ploneは見た目よりもはるかに安全性が低いかもしれません...
C.注目を集めている人気のあるCMSを使用している場合、新たに発見された脆弱性を自動化して「釣り上げる」多くの人がいるため、常に最新の状態に保つ必要があります。ここでの良い例はTimThumbです。 2011年に発見されたと思いますが、まだ多くのTimThumスキャナーがネット上をローミングしていることがわかります。新しいターゲットを発見し続けるので、それを続けていると推測できます。
確認できる唯一のことは、この種のソフトウェアには脆弱性がないことです。 CMSは、たとえ単純であっても、複雑すぎて、問題、バグ、弱点がないことはありません。
リンクしたリストから実際に読むことができるのは、脆弱性が報告されていないということです。これは、何もないという意味ではありません。 CMSの人気が高いほど、攻撃の頻度が高くなると考えられます。しかし、攻撃とはセキュリティホールを発見することを意味するため、CMSの人気は発見されたバグの数と相関します。
一般的に:何かを見たり見つけたりできないことは、それが存在しないことを意味しません。
マイケルが答えで言ったように、もちろん人気は大きな要因です。これは、CMS自体に適用されるだけでなく、CMSが構築されているスタックにも適用されます。 Joomla!、DrupalおよびWordpressは、市場で最も使用されているCMSであり、Webアプリケーションで最も使用されている言語であるPHPで構築されていますが、Ploneはあまり使用されていません(w3techによると)サイトの0.1%以上で、Pythonで構築されています。
次の要因は、脆弱性が報告されているCMSのバージョンです。多くの場合、問題は古いバージョンに関するもので、サポートされなくなりました。
他の要因は、脆弱性の場所です。それらはコアCMSまたは拡張機能にありますか? CMSの拡張機能が多いほど、CMS全体としてより多くの問題がカウントされます。
たとえば、1年に1000個の拡張機能ごとに1つのセキュリティ問題があるとしましょう。次に、現在のバージョンでは、昨年のこの脆弱性の分布が予想されます。
Drupal 7
Wordpress 26
Joomla! 7
Plone 0
これは、投稿したスクリーンショットの最後の列とほぼ一致しています。ただし、Drupalの数ははるかに多くなります。これは、新しいバージョンのためにすべてをゼロからやり直さなければならないという事実が原因である可能性があり、そのため古い障害もやり直されます。
ソース:[1] Drupalモジュール [2] Wordpressプラグイン [3] Joomla拡張ディレクトリ [4] Plone製品 =