Drupalin tietoturva

Oikein asennettuna ja ylläpidettynä, Drupal on yksi turvalllisimmista avoimen lähdekoodin julkaisujärjestelmistä. Drupalin turvallisuutta vahvistaa monet tekijät: avoin lähdekoodi, aktiivinen tietoturvaryhmä, isojen organisaatioden tuki, kehittyneiden ulkoisten kirjastojen käyttö sekä monipuoliset turvamekanismit.

Avoin lähdekoodi

Avoin lähdekoodi tuo itsessään turvaa, koska mahdollisten tietoturva-aukkojen havaitseminen on nopeampaa. Moni muukin julkaisujärjestelmä (kuten Wordpressin ydin) pohjautuu avoimeen lähdekoodiin. Mutta esimerkiksi Wordpressiin tarjolla olevat lukuisten 3. osapuolen toteuttamat moduulit ja pluginit ovat usein maksullisia, eivätkä näin tarjoa avoimen lähdekoodin hyötyä.

Drupalin yhteisö on kehittänyt keskitetyn mallin, jossa avoimen lähdekoodin lisämoduulit ladataan drupal.orgin kautta (kuten itse ohjelmaydin). Tämä pienentää riskiä turvattoman koodin leviämiseen ja toisaalta nopeuttaa mahdollisten tietoturva-aukkojen löytymistä, niistä tiedottamista ja niiden korjaamista.

Drupalin Tietoturvaryhmä (Drupal Security team)

Drupaliin on usein tarjolla tietoturvapäivityksiä. Tämä ei ole kuitenkaan merkki huonosta koodista vaan yhteisön aktiivisesta työstä löytää ja korjata pienimmätkin mahdolliset (ja usein teoreettiset) tietoturvauhat. Drupalin tietoturvaryhmä koostuu yli 20 organisaatiossa/yrityksessä työskentelevästä ammattilaisesta ympäri maailman. Heidän rinnallaan työskentelee laaja vapaaehtoisten joukko.

Isojen organisaatioiden tuki

Isot yritykset ja organisaatiot käyttävät paljon resursseja varmistaakseen nettisivujensa turvallisuuden mm. tekemällä säännöllisiä turvallisuusauditointeja. Jos niissä havaitaan puutteita, he todennäköisesti raportoivat ongelmista myös Drupalin tietoturvaryhmälle. Tämä yhteistyö auttaa osaltaan pitämään tietoturvan parhaalla mahdollisella tasolla ja hyödyttää kaikkia osapuolia. Mm. Tesla, The Economist, Pinterest, Oxforin yliopisto Twitter, ja The World Economic Forum luottaa Drupaliin.

Ulkoiset kirjastot

Drupal 9 on tiukasti sidottu Symfonyn komponentteihin. Symfony on erittäin laajassa käytössä oleva, pitkälle kehittynyt ja aktiivisesti ylläpidetty koodikirjasto. Hyvin ylläpidetyn kirjaston käyttäminen osana ohjemistoa kasvattaa turvallisuustasoa entisestään koska näin voidaan hyödyntää kirjaston valmiiksi kehitettyjä ja hyviksi ja turvallisiksi havaittuja ratkaisuja, ilman että kaikkea tarvitsee keksiä uudestaan. Koodikirjaston käyttö edellyttää myös että käytössä on hyvät ohjemointistandardit ja käytännöt.

Turvallisuusmekanismit

Drupal 9:ssä on paljon teknisiä yksityiskohtia jotka parantavat järjestelmän turvallisuutta entisestään: vahvasti suojatut salasanat, konfiguraatiotietostojen käyttö (tietokannan sijasta), monipuolinen käyttäjäoikeuksien hallinta, virheiden raportointijärjestelmä joka varoittaa automaattisesti jos se huomaa jotain vikaa sivuston turva-asetuksissa, automatiikka joka huomauttaa automaattisesti julkaistuista tietoturvapäivityksistä, Twig templaatit, josta löytyy mm. monipuoliset työkalut puolustautua XSS ja CSRF -hyökkäyksiä vastaan

Mikään tietoverkossa toimiva järjestelmä ei ole 100% varmuudella suojassa tietoturvahyökkäyksiltä, mutta valitsemalla oikean järjestelmän ja pitämällä siitä huolta, riski väärinkäytöksiin pienenee merkittävästi.

Lue lisää Drupalin päivittämisestä