L’Outil Surpuissant pour Exploser ton Chiffre d'Affaires en 2024 !
CMS Open Source vs CMS propriétaire pour l'entreprise
En matière de sécurité, quelles sont les principales différences entre un système de gestion de contenu propriétaire et un CMS open source? Parlons-en.
Regardez-vous les informations et vous sentez-vous moins en sécurité ces jours-ci?
Si vous suivez l'actualité, vous avez peut-être remarqué que des histoires sur la sécurité des données – son absence – semblent être rapportées à un rythme croissant et alarmant. Ces attaques sont initiées à partir de sources multiples et affectent diverses plates-formes. Ils vont de concernant à exaspérant à juste effrayant .
Si vous êtes à la recherche d'une plate-forme de gestion de contenu, vous lisez ces histoires avec une attention particulière lorsque vous réfléchissez à vos choix. Alors que votre tête tourne avec le nombre vertigineux d'options, vous serez finalement entraîné dans un débat sur les mérites des plates-formes CMS open source. Les options open source offrent flexibilité, liberté et rentabilité (au moins pour la partie logicielle de votre implémentation), mais le facteur de sécurité pèse lourdement dans cette équation.
L'Open Source est un développement assez récent
Le développement Open Source est apparu à la fin des années 1990 introduisant la collaboration et la coopération dans le processus de création de logiciels. C'était une rupture majeure avec le développement traditionnel. Traditionnellement, les programmeurs étaient payés par les sociétés qui vendaient les programmes et le code source était protégé en tant que propriété intellectuelle. Créer une communauté de développeurs et utiliser le code à toute personne disposant d'une connexion haut débit par ligne commutée semblait imprudent pour certains, mais c'était la pure transparence qui garantissait la responsabilité, révélait des bogues et garantissait un bon comportement. Les produits développés avec lui peuvent être commercialisés et vendus. Au fil du temps, les avantages du développement open source ont été reconnus et aujourd'hui, de nombreux produits sont produits de cette manière, la maintenance et les services créant des flux de revenus pour de nombreuses organisations.
Dans quelle mesure les produits CMS Open Source sont-ils sécurisés?
C'est une question juste, et vous obtiendrez des réponses très différentes selon à qui vous posez la question. Le débat se concentre sur deux distinctions majeures entre les systèmes open source et propriétaires. Le premier que nous avons abordé: l’accès au code source. La deuxième différence réside dans les langages de programmation utilisés pour développer des projets open source. Ils s'alignent entre plusieurs options, donc lorsque nous considérons la sécurité des systèmes open source, nous devons prendre en compte la sécurité inhérente aux langages de programmation eux-mêmes.
Qui a accès au code?
Les systèmes de gestion de contenu open source comme Drupal, WordPress, Joomla et autres sont généralement créés par une communauté massive de développeurs. Personne n'a spécifiquement la responsabilité de sécuriser le système, mais comme chaque développeur a un intérêt direct, le raisonnement est que les vulnérabilités seront corrigées au fur et à mesure qu'elles seront découvertes. Les développeurs sont motivés par leur engagement envers le projet et la chance de se bâtir une réputation dans la communauté.
Cette application de l'intérêt personnel et de la mentalité tribale est considérée comme plus énergisante que la compensation monétaire. De plus, ces motivations internes ne sont pas sujettes au manque de temps, aux contraintes budgétaires et aux politiques du personnel. Les intégrateurs qui installent et entretiennent ces systèmes gagnent leur argent grâce aux services et à la maintenance.
Les systèmes de gestion de contenu propriétaires comme Adobe, Sitecore, Optimizely, Progress Sitefinity et bien d'autres, gardent leur code comme propriété intellectuelle et permettent uniquement à leurs propres développeurs de voir et de modifier le code. Ces entreprises protègent leur investissement en recrutant des équipes internes talentueuses pour développer et tester leur produit. En pratique, ces équipes sont plus petites que les communautés de développeurs open source, mais en tant qu'employés, soutenus par la structure formelle et la sécurité d'un environnement commercial, ils ont la latitude de se concentrer à plein temps sur le projet et de bénéficier de la synergie d'un structure de l'équipe.
En pratique, aucun des deux modèles n'existe dans sa forme la plus pure. Les développeurs de CMS open source sont souvent des programmeurs professionnels embauchés par des entreprises pour travailler sur des projets open source. Ils contribuent au travail de la communauté tout en collectant un chèque de paie. Certaines entreprises éclairées laissent même aux développeurs le temps de travailler sur des projets parallèles, de promouvoir le développement professionnel et peut-être de produire des résultats commercialisables pour l'entreprise. Comme on pouvait s'y attendre, certains de ces projets sont open source.
Et bien que les développeurs de CMS open source soient clairement motivés par la passion, il est juste de souligner que les développeurs salariés travaillant pour des sociétés de logiciels CMS propriétaires tirent également satisfaction de leur travail. Les meilleurs codeurs ont une grande latitude pour travailler et rechercher les meilleurs projets.
Les facteurs de motivation sont toujours un mélange de nombreux éléments. En effet, les communautés open source servent également de réseaux professionnels, les membres se joignant dans l'espoir d'augmenter leur potentiel de revenus.
Qu'en est-il des différents langages de programmation utilisés pour créer les plates-formes?
Les développeurs open source utilisent un certain nombre de langages de programmation, notamment PHP, SQL, MySQL, Java, JavaScript et Python, tandis que les développeurs de plates-formes propriétaires sont plus susceptibles d'utiliser ASP.NET avec C # ou Java.
La plupart des histoires de vulnérabilités open source ont tendance à impliquer que les langages utilisés par les développeurs open source sont moins sûrs, mais ce n'est pas aussi simple. Les piratages de sites Web sont généralement dus à des vulnérabilités dans les plugins et les thèmes, et non au logiciel CMS lui-même.
LIRE: Pourquoi votre CMS Open Source peut vous exposer à des risques de sécurité critiques
Professionnalisme, meilleures pratiques et fonctionnalités de développement sécurisé [19659006] Le soin et le professionnalisme de votre équipe de développement sont plus importants que la langue choisie. La vérité est que les bonnes pratiques de programmation produiront un projet sécurisé et que de mauvais processus de programmation auront l'effet inverse.
Cela dit, certains environnements sont mieux adaptés pour appliquer les bonnes pratiques. Le .NET Framework et le .NET Core de Microsoft, par exemple, contiennent des fonctionnalités conçues pour faciliter le développement sécurisé. Les équipes qui planifient efficacement et s'appuient sur ces fonctionnalités sont beaucoup plus susceptibles de créer un produit sécurisé. C'est l'une des raisons pour lesquelles des entreprises comme Progress sont engagées dans le développement .NET.
Fait intéressant, en 2014, Microsoft a ouvert le code source du .NET Framework et leur plate-forme de développement continue d'être open source avec la sortie de .NET Core. Microsoft l'a fait pour de bonnes raisons commerciales, en promouvant son écosystème et en encourageant le développement multiplateforme. Cela semble ironique, mais en fait, cela renforce l'idée que dans le bon contexte, l'open source a une grande valeur. Mais le contexte, comme toujours, est très important.
Et c'est mon point
À sa place, le développement open source favorise la créativité et la collaboration, mais c'est précisément pour cette raison que les systèmes de gestion de contenu construits avec le développement open source deviennent vulnérables.
Les correctifs de sécurité et les mises à jour logicielles doivent être appliqués avec diligence et régularité pour garder une longueur d'avance sur tout pirate créatif qui profiterait d'une vulnérabilité. Cela est vrai que le produit soit open source ou propriétaire.
Avec les systèmes propriétaires, lorsqu'une vulnérabilité est découverte, la modification est apportée au code et la mise à jour est publiée avec une explication de ce qui a été corrigé. La vulnérabilité est quelque peu cachée par le secret du code. Avec les systèmes open source, cependant, le code modifié est publié avec le correctif ou la solution de contournement. La source de la vulnérabilité est exposée et des attaques malveillantes peuvent être lancées contre quiconque n'a pas encore appliqué le correctif.
Comme indiqué précédemment, c'est rarement le CMS lui-même qui est vulnérable aux attaques mais les plugins et les dépendances qui exposent un site Web à une faille. Les intégrations dans un système au niveau de l'entreprise sont beaucoup plus susceptibles de nécessiter une connectivité complexe. Les implémentations avec de multiples intégrations et une prolifération de données sensibles, peuvent ne pas être de bons candidats pour les correctifs automatisés. Pour cette raison, les systèmes CMS propriétaires offrent une certaine couverture en gardant la raison du correctif cachée à la vue du public.
Pour cette seule raison, dans toute implémentation de CMS au niveau de l'entreprise, le plan d'action le plus sûr est de s'en tenir à un système propriétaire tout en utilisant un plan de gestion des correctifs diligent.
Plus de ressources
Source link