Tomcat與WebSphere與WebLogic的安全性

Question

我工作的公司銷售在Tomcat，WebSphere或WebLogic上運行的J2EE應用程序。 我們有一個客戶試圖在Tomcat和WebSphere之間做出決定。 他們傾向於WebSphere，因為他們擔心Tomcat會有更多安全漏洞。

在網上搜索之后，從安全的角度來看，我一直無法找到任何比較主要J2EE應用服務器的健壯性的站點或研究。

你們有沒有人能指出我比較應用程序服務器安全漏洞的信息？

Answer 1

有趣的是，您的客戶“擔心Tomcat會有更多的安全漏洞。” 我想知道他們是否可以列出這些洞是什么？ 如果他們不能，那就是道聽途說和FUD。

我會說所有的Web服務器/ servlet引擎都有同樣的問題。 它是部署在它們上的應用程序，代表真正的安全漏洞。 跨站點腳本，SQL注入，缺乏輸入驗證，由於不良的分層和實踐而導致的敏感數據暴露 - 這些都是應用程序問題，無論您選擇哪個應用服務器，都會出現問題。

我個人認為WebLogic是市場上最好的Java EE應用服務器。 我沒有使用WebSphere的第一手經驗，但我尊重的人告訴我這是一個恐怖節目。 我只使用Tomcat進行本地開發。 它永遠不會讓我失望，但這不是生產經驗。 我不知道它是如何擴展的。

我會仔細考慮Spring的dm Server，它基於Tomcat，Spring和OSGi。 我覺得它代表了所有競爭對手將要采用的未來方向。

Answer 2

我會說如果可能的話，在WebSphere上使用tomcat。

我認為99％的安全性就是你如何設置它。

您是否還在評估Apache HTTP Server，IBM HTTP Server和IIS的安全隱患？

安全涉及的不僅僅是您選擇運行Web應用程序的應用程序服務器。

Tomcat安全報告

Websphere安全報告 （您必須深入了解每個更新以查看修復的內容）

Answer 3

根據我的經驗，WebSphere沒有添加任何非規范（因此在Tomcat上有所支持）。 當你嘗試做一些更復雜的安全技巧（使用SecureID或其他東西的管理員身份驗證）時，你需要深入挖掘問題。 WebSphere嘗試將更多內容放在UI控制台中。

話雖這么說，貴公司應該考慮在Glassfish上進行測試。 它使用Tomcat作為servlet容器，但為管理添加了更好的UI。

Answer 4

根據這篇文章 ，在servlet引擎方面，WebSphere社區添加與Tomcat 5.5沒有什么不同。 在我看來，這個決定應該基於所需的整體功能，而不是感知“安全漏洞”。

Answer 5

幾項不同的調查證實，Tomcat在全球超過60％的組織中運營，包括最大的銀行。 正如其他人所說，Tomcat安全性不是問題。 Tomcat缺少的“普通香草”是許多企業用於訪問控制，診斷，監控，警報和配置所需的控制台和UI。 從MuleSoft查看Tcat服務器 。 它是100％Tomcat（無分支），但具有運行Tomcat的企業功能。

Answer 6

我不能說一個人是否比另一個好，因為我從未使用過Tomcat，你真的沒有定義你的安全要求。 安全可能是一個相當大的野獸，涉及不同的水平。 因此，您需要明確定義的要求，甚至需要確定所需的安全功能。

我們使用與其他幾個IBM產品集成的Websphere來提供對我們的應用程序的安全訪問，這對我們來說至今仍然運作良好。 您可以查找Webseal和Tivoli產品系列，以增加WebSphere的安全性。