Drupal

Drupal, eine weltweit genutzte Open-Source-Plattform für digitale Inhalte bzw. ein Content-Management-System, wird von einer Community von über 100.000 Mitwirkenden betreut und unterstützt mehr als 1,3 Millionen Nutzer*innen auf Drupal.org. Die Drupal Association, eine Non-Profit-Organisation, sorgt für das Wachstum der Community und beaufsichtigt kritische Prozesse wie die Verwaltung von Releases und Updates für das Drupal-Softwareprojekt.

Als Teil ihres Auftrags, die Sicherheit von Drupal zu stärken, leitet die Drupal Association eine Initiative zur Implementierung automatischer Updates und Installationen von Erweiterungen innerhalb des Drupal-Kerns. Um die Sicherheit der Supply Chain für diese Updates zu erhöhen, setzt das Projekt The Update Framework (TUF) ein, ein von der Cloud Native Computing Foundation entwickeltes Framework zum sicheren Update von Software-Systemen.

TUF wird in zwei Komponenten implementiert: PHP-TUF, die client-seitige Implementierung in PHP, und Rugged, die server-seitige Implementierung, die von Drupal.org zum Signieren von Packages verwendet wird. Vor der Integration in Produktionssysteme werden diese Komponenten nach bestehenden Best Practices einem Security-Audit unterzogen, womit das Vertrauen in die Lösung weiter erhöht wird. Die Ergebnisse des Sicherheitsprüfungsprozesses werden weitergegeben, sodass andere Communitys, die TUF implementieren, ebenfalls davon profitieren können. Insbesondere steht das Team in Kontakt mit Packagist.org, Joomla und Typo3, die die Ergebnisse dieser Arbeit aufmerksam verfolgen.

Die Sicherung der Supply Chain ist ein wesentlicher Bestandteil jedes automatischen Aktualisierungssystems. Unabhängige Sicherheitsprüfungen sind entscheidend, um die Zuverlässigkeit und Sicherheit von Softwarekomponenten zu gewährleisten. Indem PHP-TUF und Rugged einen Sicherheits-Audit durch Dritte bestehen, möchte die Drupal-Community das Vertrauen in wichtige Projekte stärken und eine breitere Akzeptanz von TUF innerhalb des PHP-Ökosystems fördern. Diese Initiative wird sich nach und nach positiv auf die allgemeine Sicherheit und Zuverlässigkeit von PHP-basierten Anwendungen auswirken.

In Anbetracht der Bedeutung von Drupal für die digitale Infrastruktur von großen Organisationen und Einrichtungen wie den Vereinten Nationen, der Europäischen Union und der US-Regierung ist der Schwerpunkt auf Sicherheit von größter Bedeutung. Drupal wird auch in den Bereichen E-Commerce, Gesundheitswesen und zivilgesellschaftlichen Initiativen eingesetzt, die eine barrierefreie und sichere Plattform benötigen. Drupal wird von DPGA als digitales öffentliches Gut anerkannt und ist ein Grundstein für die Aufrechterhaltung eines freien und offenen Internets, das eine Alternative zu restriktiven Plattformen anbietet.

Automatische Updates mit TUF machen Drupal nicht nur nutzungsfreundlicher, sondern reduzieren auch die Verwaltungskosten und den Wartungsaufwand. Diese Sicherheitsprüfungen setzen aktuelle Best Practices um, die Drupal als einem Verwalter des freien und offenen Webs entsprechen.

Die Arbeiten, die der Sovereign Tech Fund in Auftrag gibt, werden die Sicherheitsinfrastruktur von Drupal stärken und die Bedienungsfreundlichkeit für Entwickler*innen durch modernisierte Tools und Prozesse verbessern. Sie befassen sich auch mit der Frage der Supply Chain Security, die für die Beseitigung von Schwachstellen und die Gewährleistung des Datenschutzes für Drupal-Websites auf der ganzen Welt entscheidend ist.

• Staging- und Produktionseinsatz der sicheren Signierung für alle auf Drupal.org gehosteten Pakete gemäß der Spezifikation The Update Framework.
• Durchführung von Sicherheitsprüfungen durch Dritte von
  • Drupal-Integrationscode
  • PHP-TUF-Client und Rugged-Server
• Unterstützung der Drupal-Community bei der Modernisierung der Entwickler*innen-Tools (Migration von einem individuellen Issue-Tracker zu GitLab)
• Optimierung des GitLab Continuous Integration Systems zur Verbesserung der Leistung