<分区>
流行的开源 Web 框架有多安全?
我对 Rails 和 DJango 等流行框架特别感兴趣。
如果我正在构建一个将要进行大量电子商务的网站,是否可以使用 DJango 和 Satchmo 等框架?
安全性是否因为他们的开放架构而受到威胁?
我知道作为操作系统并不意味着对黑客完全开放,Linux 使用了极好的身份验证机制,但网络是另一回事。
这方面可以做些什么?
更新:
谢谢大家的回答。
我知道我必须为安全的电子商务应用程序找到合适的托管服务,并且需要额外的安全层。
我知道 Django 和 Rails 的设计考虑了安全方面,最常见的形式攻击,如 XSS、注入(inject)等。 ( Django book 在 Security 上有一个 channel )
我期待安全专家的评论。如果您是安全专家,您会推荐一个很可能会流行的重要网站,以建立在 DJango 上吗? 还是 Rails?
最佳答案
很多人说security through obscurity无效。 Microsoft 产品、Adobe Reader 等可以作为证据证明闭源在防止安全问题方面并不比开源更有效。
许多开源倡导者认为,眼睛越多越好 方法是解决与安全相关的错误的一种方法。但是,实际上,当您处理较小的应用程序或不那么流行的商业或开源应用程序时,通常很少有人关注。因此,一些黑帽在谷歌代码中搜索带有安全漏洞的代码片段是真正的危险。
尽管如此,如果您使用的是相当流行的开源框架 - 我怀疑它是否比竞争性商业产品更安全或更不安全。至少,您可以从具有非常活跃社区的开源产品中更快地解决与安全相关的错误修复问题。
但是,如果您认真地构建电子商务网站,则需要多层保护。一定要确保适当的防火墙和入侵保护/检测系统 (IPS/IDS) 到位。您可能需要支付托管服务费用,该服务除了托管外还提供安全安慰和监控服务。记住你的用户就是你的客户!任何违规行为都可能对企业造成灾难性后果。
关于ruby-on-rails - 开源 Web 框架 : Security,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/793964/