Drupal 7 er klar til at erobre monster-hjemmesider verden over
Den kommende version 7 af CMS-systemet Drupal vil kunne klare selv de største hjemmesider.
Det er vurderingen fra Kevin Bridges, som er en del af det hold, der arbejder med kernen i Drupal, og det har holdt ham beskæftiget de sidste seks år, hvor han blandt andet har arbejdet med CMS-systemets sikkerhedsfunktioner.
Der er mellem 50 til 100 udviklere på kernen i Drupal, mens det samlede antal udviklere, der leverer til projektet tælles i tusinder.
»Det er et kæmpe miljø,« siger Kevin Bridges.
Udviklingen foregår helt uden hieraki og bosser, hvis man skal tro Kevin Bridges, der talte om CMS'ets nye udgave på Drupalcon-konferencen, som i disse dage afholdes i København.
»Det er en fælles proces. Hvis nogen har en idé, går det igennem en udvælgelsesproces, som miljøet kan reagere på, og en konsensus opnås,« siger Kevin Bridges.
I den kommende Drupal 7 vil CMS'et kunne noget mere i en større skala end tidligere.
»Det er første gang, at Drupal bliver til et system på enterprise-niveau. Vi går fra at være en platform for hobbyister til noget, som er i stand til at understøtte større virksomheder, mens det stadig er meget anvendeligt for slutbrugerne. Meget af det arbejde, som vi i øjeblikket foretager med brugbarheden, går efter de problemer, som almindelige mennesker oplever.«
Det skal gøre det nemmere for redaktører og dem, der skaber indhold at anvende Drupal.
»Værktøjerne er ikke bare nemmere, de er også mere højtydende,« siger Kevin Bridges.
Trækker på erfaringer fra store sider
Det er sket ved at tage erfaringerne med at benytte Drupal på meget store hjemmesider ind i kernen af systemet.
Blandt nyhederne i Drupal 7 er en ny arkitektur, som bygger på felter, entiteter og bundter.
Det er nye begreber i Drupal, som hjæper med til at beskrive en indholdstype.
»De giver de knapper, du trykker på og de tekstfelter, du skriver i. Det er nye betegnelser for gamle koncepter. I starten havde vi ideen om brugere, taksonomier og noder. I de tidligere versioner var det tre vidt forskellige ting. I Drupal 7 bliver grænserne i mellem begreberne mindre,« forklarer Kevin Bridges.
Det betyder, at man kan knytte en bruger sammen med en node uden de krumspring, det krævede i Drupal 6.
»Det er én af de største ændringer i forhold til tidligere.«
På enterprisesiden er en ny kø, samt evnen til at give mere smæk for skillingen i meget store Drupal-applikationer.
Det er en hel ny arkitektur, som følger Drupals filosofi om at starte helt fra bunden, hver gang en ny version sendes på gaden.
»Vi er blevet enige om at i stedet for at understøtte bagudkompabilitet og de dårlige ideer, vi fandt på i fortiden, så giver det os evnen til at overveje, hvad vi har gjort, at finde den bedste løsning og bevæge os fremad.«
Kevin Bridges mener, at et krav om bagudkompabilitet ofte er det, som trækker kvaliteten af software ned.
Men det betyder også, at det kan blive svært for brugerne at flytte fra én version til den næste.
»Vi gør, hvad vi kan for at sikre, at der er en rute for opgradering. Så længe man benytter kernen på den rigtige måde, burde det være muligt, men hvis man bryder reglerne og hacker kernen, så er du på egen hånd.«
Kommentarer (4)
hvor han blandt andet har arbejdet med CMS-systemets sikkerhedsfunktioner.
Drupal er ikke lige mit kerneområde, men sidst jeg kiggede efter, evnede man ikke at benytte parameterized queries, eller hvad man nu kalder det i den verden.
Det er jo nogenlunde klart, at så længe man baserer sig på et databaselag, der ikke understøtter 'stacked queries', så kan man mere eller mindre nøjes med substituering af input.
Snakker man Enterprise class, bør der jo nok ryddes op i denne eklatante 'fejlsporing'.
Som sagt har jeg ikke kigget efter, så tag det som en opfordring til at få sikkerheden på plads.
'Vi andre' har trods alt brugt 'parameterized' queries i 15+ år..
(Keyword: SQL injection!).
-
0 -
0
Der er vel flere metoder til at sikre sig mod sql injection. Hvis de nu bruger fx mysql_real_escape_string() i PHP til at sikre sig at alle data er escape'et korrekt
(Kender ikke selv Drupal)
-
0
-
0
Man har umildbart gjort sig nogle tanker vedrørende sikkerhed i drupal-core:
http://drupal.org/writing-secure-code
Og det ville da vel næste være underligt at sikkerheden skulle være blevet dårligere med næste version
-
0
-
0
Mht. SQL injections, så beskytter Drupal’s database API'er mod SQL-injection, omend denne beskyttelse er implementeret i PHP istedet for at bruge databasens muligheder ifbm. prepared statements.
Generelt vil jeg også vove at påstå at sikkerheden er rimelig i orden. Drupal har været igennem mange sikkerhedsreviews fra både større konsulentfirmaer og regeringsinstanser ud over Drupals eget sikkerhedsteam.
Der er selvfølgelig ikke noget software der er 100% bugfri, men open source systemer med udbredelse så stor som Drupals bliver jo peer-reviewed i en uendelighed, og det gør at kodekvaliteten nok faktisk er højere (og der med sikrere) end størstedelen af den properitære software.
-
0
-
0
Tilføj kommentar
