В результате одной дискуссии на тему безопасных форумов/CMS на PHP мне пришла в голову идея: давайте вместе составим список безопасных веб-приложений! Задача списка — помогать при выборе приложения для установки и предоставить обзор текущей ситуации с безопасностью веб-приложений.

Изначально речь шла о форумах и CMS, но, думаю, ограничиваться этими двумя приложениями не обязательно. Для добавления приложения в список оно должно соответствовать нескольким критериям:
  1. Вы его либо используете (использовали), либо знаете лично того, кто использует.
  2. Это не должно быть узкоспециализированное приложение.
  3. Бесплатное.
  4. Open source.
  5. Ну и самое главное: безопасное!
Я предлагаю определять безопасное приложение по следующим критериям:
  • Первый публичный релиз был не менее двух лет назад.
  • Для последней стабильной версии нет известных уязвимостей.
  • В базе Common Vulnerabilities and Exposures (CVE) нет записей по этому приложению минимум за последний год (уязвимости в плагинах можно не учитывать, при условии что приложение вполне юзабельно без этих плагинов и в типовую инсталляцию они не входят).
  • В случае отсутствия приложений, полностью подходящих под эти критерии, можно включать в список наиболее безопасное из существующих (отдельно для каждого ЯП).
Форум Проверить ЯП
YaBB cve sf seclab milw0rm exploit ps secunia Perl
phpBB 3 cve sf seclab milw0rm exploit ps secunia PHP
Snitz Forum 2000 cve sf seclab milw0rm exploit ps secunia ASP
CMS Проверить ЯП
papaya CMS cve sf seclab milw0rm exploit ps secunia PHP
eZ Publish cve sf seclab milw0rm exploit ps secunia PHP
Блог Проверить ЯП
Serendipity cve sf seclab milw0rm exploit ps secunia PHP
e-commerce Проверить ЯП
osCommerce cve sf seclab milw0rm exploit ps secunia PHP

Рекомендуйте приложения для включения в список в комментариях, там же обсудим при необходимости, и я буду редактировать статью пополняя список. Правила включения в список тоже можно обсудить и скорректировать.