Open-Source-Sicherheit in Drupal nutzen

Stellen Sie sich Ihren besten Freund vor, der alles für sich behält – eine Eigenschaft, die es Ihnen manchmal schwer macht zu verstehen, ob er in Not ist. Stellen Sie dieser Figur einen anderen Freund gegenüber, der ein offenes Buch ist, was es zu einer leichten Aufgabe macht, zu wissen, was er denkt und fühlt. Eine solche Korrelation lässt sich in dieser digitalen Welt beobachten, in der die Sicherheit von Open-Source-Software und proprietärer Software ständig diskutiert wird.

Dr. A.P.J. Abdul Kalam, ehemaliger Präsident und renommierter Wissenschaftler Indiens, bekräftigte einmal, dass "Open-Source-Codes den Benutzern leicht ermöglichen, Sicherheitsalgorithmen im System aufzubauen, ohne von proprietären Plattformen abhängig zu sein". Die Sicherheit, die Open-Source-Software bietet, ist beispiellos. Drupal, als Open-Source-Content-Management-Framework, ist bekannt für seine hervorragende Sicherheit für Ihre Online-Präsenz und sollte in Betracht gezogen werden.

Open-Source-Software kennenlernen

Es war 1999, als Eric Raymond feststellte, dass mehr Augenpaare die Fehler oberflächlich erscheinen lassen können. Er prägte den Begriff "Linus' Gesetz", der zu Ehren des Linux-Schöpfers Linus Torvalds benannt wurde. Seitdem sind fast zwei Jahrzehnte vergangen, in denen Linus' Gesetz kontinuierlich als Doktrin verwendet wurde, um die Sicherheitsvorteile von Open-Source-Software zu erklären.

Angesichts einer ausreichend großen Beta-Tester- und Co-Entwickler-Basis wird fast jedes Problem schnell erkannt und die Lösung für jemanden offensichtlich sein - The Cathedral and the Bazaar von Eric S. Raymond (Lektion 8)

Open-Source-Software besteht aus Quellcode, der für jedermann zur Inspektion, Anpassung oder Verbesserung offen zugänglich ist. Dieser Code kann Fehler oder Probleme enthalten, die gekennzeichnet werden müssen.

Darüber hinaus bedeutet die öffentliche Verfügbarkeit, dass Angreifer den Code studieren und ausnutzen können, was die Etablierung von Sicherheitspraktiken auf Code-Ebene betont. Einige der gängigen Open-Source-Sicherheitspraktiken umfassen:

• Verwaltung eines Inventars aller verwendeten Software. Diese Daten müssen die Version, den Hash-Wert und die ursprüngliche Quelle des Codes enthalten.
• Überprüfung der Verfügbarkeit von Sicherheitsupdates und Fehlerbehebungen. Dies stellt sicher, dass die Patch-Management-Prozesse regelmäßig durchgeführt werden.
• Testen und Scannen des Quellcodes. Dies wird mit Code-Analysatoren, Auditing-Tools oder einer Community wie Drupal durchgeführt.
• Stellen Sie sicher, dass Open-Source-Anwendungen mit der bestehenden Netzwerkarchitektur konform sind, um Verstöße gegen Firewall- oder Sicherheitsrichtlinien zu vermeiden.

Mythos oder Fakt: Ist Open-Source-Software sicherer als Closed-Source-Software?

 

Ob es sich um den Heartbleed-Vorfall im Jahr 2014 handelte, bei dem die Schwachstelle in OpenSSL entdeckt wurde. Oder um den Microsoft Vulnerability Exploit im Jahr 2014, als Kreditkarteninformationen von Millionen von Home Depot-Kunden kompromittiert wurden. Sowohl Open-Source- als auch Closed-Source-Software haben eine Geschichte von Sicherheitsbedrohungen. Aber welche ist sicherer?

Closed-Source-Software, auch bekannt als proprietäre Software, wird nur an autorisierte Benutzer mit privaten Modifikations- und Wiederveröffentlichungsbeschränkungen verteilt. Auf der anderen Seite wird OSS unter einer Lizenzvereinbarung vertrieben, die es der breiten Öffentlichkeit zur Verfügung stellt, um sie kostenlos zu nutzen und zu modifizieren.

Es ist diese Fähigkeit, den Code zu modifizieren, die den Kern der Argumentation innerhalb der Linux-Community bildet, dass Open Source sicherer und weniger anfällig für Sicherheitsangriffe ist als die Closed-Source-Software Microsoft Windows.

OSS ermöglicht es jedem, den fehlerhaften Code zu korrigieren. Im Gegensatz dazu kann Closed Source nur vom Anbieter behoben werden. 

Wenn also mehr Leute den Code innerhalb der OSS-Community testen und beheben, erhöht Open Source allmählich seine Bedeutung für die Sicherheit im Laufe der Zeit. Obwohl immer noch Angriffe entdeckt werden, ist es viel einfacher geworden, Fehler zu identifizieren und zu beheben. Open-Source-Enthusiasten glauben, dass sie weniger Exploits erleben und ihr Code schneller Patches erhält, da es eine Vielzahl von Entwicklern gibt, die zum Projekt beitragen.

Wenn man tiefer gräbt, untermauert die Vorstellung, dass Open-Source-Plattformen den Benutzern die Möglichkeit bieten, sich mit neuen und sich ändernden Anforderungen relevant zu halten, das Argument für Open Source gegenüber Closed Source. OSS hat den Ruf, sicherer zu sein, wie die University of Washington in einem Bericht feststellt.

Open-Source-Sicherheit in Drupal

Das Drupal-Sicherheitsteam in Aktion

Das Drupal-Open-Source-Projekt hat ein engagiertes Team von Freiwilligen, die sicherheitsrelevante Fehler verfolgen und Updates veröffentlichen. Sie helfen bei:

• Behebung von Sicherheitsproblemen, die in einem Security Advisory gemeldet werden.
• Anbieten von Hilfe für Maintainer von Contributed Modules bei der Behebung von Sicherheitsproblemen.
• Anbieten von Dokumentation zum Schreiben von sicherem Code und zum Schutz von Drupal-Sites
• Unterstützung des Infrastrukturteams bei der Sicherung der Drupal.org-Infrastruktur.

Jeder, der einen potenziellen Fehler, eine Schwäche oder eine Sicherheitsbedrohung entdeckt oder davon erfährt, die die Sicherheit von Drupal gefährden könnte, kann diese dem Drupal-Sicherheitsteam melden.

Prozesszyklus

Der Prozesszyklus des Drupal-Sicherheitsteams umfasst:

• Analyse von Problemen und Bewertung der potenziellen Auswirkungen auf alle unterstützten Versionen von Drupal.
• Mobilisierung des Maintainers zur Beseitigung, wenn ein valides Problem festgestellt wird
• Erstellung, Bewertung und Testen neuer Versionen
• Erstellung neuer Releases auf Drupal.org
• Verwendung verfügbarer Kommunikationskanäle, um Benutzer zu informieren, wenn Probleme behoben wurden
• Herausgabe eines Advisory, wenn der Maintainer die Probleme nicht innerhalb der Frist behebt, und Empfehlung, das Modul zu deaktivieren, wodurch das Projekt auf Drupal.org als nicht unterstützt gekennzeichnet wird.

Das Sicherheitsteam hält Probleme privat, bis eine Lösung für das Problem verfügbar ist oder wenn der Maintainer das Problem nicht von Zeit zu Zeit angeht. Sobald die Bedrohung behoben und eine sicherere Version verfügbar ist, wird dies öffentlich bekannt gegeben.

Darüber hinaus koordiniert das Sicherheitsteam die Sicherheitsankündigungen in Release-Zyklen und arbeitet mit Drupal Core- und Modul-Maintainern zusammen. Bei Bedenken hinsichtlich der Verwaltung von Sicherheitsproblemen können Sie sich auch an [email protected] wenden. 

Sicherheitsfunktionen

• Sie können einen sicheren Zugriff auf Ihre Drupal-Site aktivieren, da es die Out-of-the-Box-Unterstützung für das Salting und wiederholte Hashing von Kontopasswörtern bietet, wenn diese in der Datenbank gespeichert werden.
• Es ermöglicht Ihnen auch, starke Passwortrichtlinien, branchenübliche Authentifizierungspraktiken, Sitzungsbeschränkungen und Single-Sign-On-Systeme durchzusetzen.
• Es bietet eine granulare Zugriffskontrolle, um Administratoren die volle Kontrolle darüber zu geben, wer welche Teile einer Site sehen und wer sie ändern darf.
• Sie können Drupal auch für eine feste Datenbankverschlüsselung in den erstklassigen Sicherheitsanwendungen konfigurieren.
• Seine Form API hilft bei der Datenvalidierung und verhindert XSS, CSRF und andere böswillige Dateneingaben.
• Es begrenzt die Anmeldeversuche, die von einer einzelnen IP-Adresse über einen vordefinierten Zeitraum unternommen werden können. Dies hilft, Brute-Force-Passwortangriffe zu vermeiden.
• Seine mehrschichtige Cache-Architektur hilft bei der Reduzierung von Denial-of-Service-Angriffen (DoS) und macht es zum besten CMS für einige der verkehrsstärksten Websites der Welt wie NASA, die University of Oxford, Grammys, Pfizer usw.
• Insbesondere adressiert Drupal alle Top 10 Sicherheitsrisiken des Open Web Application Security Project (OWASP).

Statistische Berichte

Im 2017 Cloud Security Report von Alert Logic wurde Drupal unter den Open-Source-Frameworks, die für Content-Management und E-Commerce bewertet wurden, für die geringste Anzahl von Webanwendungsangriffen gemeldet.

Sucuris Hacked Website Report zeigte auch, dass Drupal das sicherheitsorientierteste CMS mit weniger gemeldeten Sicherheitslücken war. Es stand an der Spitze gegenüber führenden Open-Source-CMS wie Wordpress, Joomla und Magento.

Herausforderungen in der Open-Source-Sicherheit

Open-Source-Software hat auch ihre Herausforderungen. Der Equifax-Verstoß von 2017 war bemerkenswert, weil Millionen von US-Verbrauchern betroffen waren. Damit die digitale Transformation stattfinden kann, wechseln Entwickler von perfekt zu schnell und verwenden Open-Source-Komponenten als wichtige Assets, um schnell gängige Funktionen hinzuzufügen. Damit sich Entwickler so schnell bewegen können, wie es die Kunden verlangen, müssen Sicherheitsexperten einige grundlegende Herausforderungen angehen.

Damit die digitale Transformation stattfinden kann, wechseln Entwickler von perfekt zu schnell und verwenden Open-Source-Komponenten als wichtige Assets, um schnell gängige Funktionen hinzuzufügen

Die Zeit zwischen Offenlegung und Exploit verkürzt sich. Heute gibt es genügend Informationen in der Common Vulnerability and Exposures (CVE)-Beschreibung einer Schwachstelle, die betroffene Softwareversionen und die Ausführung eines Angriffs enthält. Böswillige Hacker können diese Informationen nutzen und die Zeit zwischen Offenlegung und Exploit verkürzen, wie im Fall von Equifax zu beobachten war.

Die Identifizierung von Open-Source-Komponentenschwachstellen, die in der National Vulnerability Database (NVD) aufgeführt sind, stieg von 2015 bis 2016 um 10 % mit einem ähnlichen Anstieg im Jahr 2017. Beispielsweise verdoppelten sich die veröffentlichten Schwachstellen in Komponenten aus Maven-Paketen, Node.js-Paketen, PyPi-Paketen und RubyGems (siehe Grafik unten).

Sicherheitsexperten müssen davon ausgehen, dass Vorab-Schwachstellenscans nicht von Open-Source-Entwicklern durchgeführt werden. Daher sind Software Composition Analysis (SCA) und häufige Updates von Open-Source-Komponenten die Verantwortung des Unternehmens.

Fazit

Open-Source-Sicherheit stellt einen bedeutenden Fall für sich dar und kann eine bessere Option sein als Closed-Source- oder proprietäre Software. Es ist auch eine Frage der Präferenz, die auf die organisatorischen Bedürfnisse und Projektanforderungen ausgerichtet ist, um zwischen ihnen für Ihr digitales Geschäft zu wählen.

Drupal, als Open-Source-Content-Management-Framework, erweist sich im Vergleich zu führenden Akteuren auf dem Markt als das sicherste CMS. Bei Opensense Labs bieten wir mit unserer fundierten Expertise in der Drupal-Entwicklung kontinuierlich digitale Transformation an.

Kontaktieren Sie uns unter [email protected] für erstaunliche Webentwicklungsprojekte und nutzen Sie die Open-Source-Sicherheit in Drupal 8.