Drupal Niçin Güvenli

Bugün milyonlarca web sitesi Drupal kullanılarak yapılmıştır ve her geçen gün bu sayı giderek atmaktadır. Drupal'ı diğer içerik yönetim sistemlerinde ayıran en önemli özelliklerin başında sadece bir CMS (Content Management System) olması değil bunun yanında güçlü bir framework olmasıdır. Drupal ile düz web sitelerinin yanı sıra çok kompleks web uygulamaları da oluşturmanız mümkündür. Drupal'ı güçlü yapan bir diğer özellik ise aktif geliştirici topluluğudur. Açık kaynak bir içerik yönetim platformu olan Drupal ilk olarak Dries Buytaert tarafından geliştirilmiş olsa da sonradan binlerce Drupal gönüllüsü projeye dahil olmuştur. Drupal'ı ayrıca Avrupa ve Amerika da birçok Drupal hizmeti sunan firma da aktif olarak desteklemektedir. Drupal'ı güçlü yapan nedenler sadece bunlar değildir, tüm bunların yanında Drupal diğer CMS'ler ile kıyaslandığında çok daha güvenlidir.

Peki Drupal niçin güvenlidir? Drupal içinde her yıl seçimle belirlenen bir güvenlik ekibi (Drupal Security Team) vardır, bu ekip tüm güvenlik açıklarını koordine etmek, düzeltilmesini sağlamak ve bunu topluluk ile paylaşmakla görevlidir.

Yukarıdaki grafikte gösterildiği gibi, güvenlik açığı son kullanıcılar veya güvenlik ekibindeki biri tarafından Drupal güvenlik ekibine raporlanır. Raporlanan açık, güvenlik ekibi tarafından incelenir, neleri etkilediği tespit edilir ve eğer gerçekten böyle bir açık varsa modülü geliştiren ekibe bildirilir. Bu güvenlik açığı raporlandıktan sonraki tüm süreç gizli bir şekilde ilerler ve açık, ilgili modülü geliştiren modül geliştiriciye bildirilir. Modülü geliştiren kişi veya ekip Drupal güvenlik ekibi ile koordineli bir şekilde açığı kapatır, eğer gerekirse Drupal güvenlik ekibi tarafından açığın nasıl kapatılacağı ile ilgili destek verilir. Güncellenen proje güvenlik ekibi tarafından tekrar incelenir ve güncelleme onaylanırsa ilgili proje drupal.org üzerinde güncellenir ve tüm topluluk ile güvenlik açığı paylaşılır. Son olarak ilgili proje web yöneticileri tarafından web sitelerinde güncellenir. Drupal güvenlik ekibinin işleyişi kısaca bu şekilde özetlenebilir. 

Peki bu ekibi kim belirliyor? Drupal Association her yıl üyeleri arasında çeşitli yönetim kademeleri için seçim yapar, güvenlik ekibi de bu seçim sırasında belirlenir. Güvenlik ekibinin aşağıdaki gibi bir yapısı vardır;

• Security Team Lead (1)
• Security Team Coordinators (3)
• Weekly Security Team Responders

Açıkçası Drupal'ı güvenli yapan sadece bir güvenlik ekibinin olması değil elbette, güvenlik ekibi dışında binlerce Drupal gönüllüsü de özgür yazılımın felsefesi gereği Drupal'ı daha güvenli yapmaktadır. Düşünün, bir programcının yazdığı kod binlerce başka programcı tarafından okunuyor, analiz ediliyor... durum böyle olunca Drupal diğer özgür yazılımlar gibi kapalı yazılımlara göre çok daha güvenlidir diyebiliriz.

Ancak tüm özgür yazılımların güvenli olduğunu söylemek elbette mümkün değil, örneğin Joomla kullanıyorsanız çok daha fazla güvenlik açığı ile karşılaşma olasılığınız var demektir ve siteleriniz hacklenebilir. Drupal'ı güvenli yapan bir başka sebep ise yazılımın kendi mimarisidir, yani Drupal yapısı gereği diğer sistemlere göre daha güvenlidir.

Son olarak aşağıdaki kaynakları takip etmenizi tavsiye ederiz;

• https://twitter.com/drupalsecurity
• http://drupalsecurityreport.org
• http://radar.oreilly.com/2009/10/whitehouse-switch-drupal-opensource.html