ハッピーホリデー!
この記事はDrupal Advent Calendar 2021、14日目の記事です。
Drupal Meetup Tokyo の中の人の一人です。
なぜ書いたか
しばらく前からウォッチしてたけど今年、2021年7月1日から誰でもお金を払えば利用できるようになった!
"Drupal Steward" は物議をかもすなぁ
— snize (@snize) April 11, 2019
セキュリティパッチがリリースされる前にファイアーウォールのルールを提供するってことかな。
— snize (@snize) April 11, 2019
大手のDrupalホスティングプロバイダだけでなく、小さな・あるいはセルフホスティングでも利用できるようにするのかな。うまくいけばいいな。
これ今回のDrupalConでは僕的にかなり目玉
Drupal Stewardとはなにか?
Drupal StewardはDrupal Security TeamとDrupal Associationが提供するWebアプリケーションファイアウォールでありセキュリティーリリースが公開されてから、運用中のDrupalにパッチが適用するまでの時間差を埋めるためのものである。
Drupalの保守をやってた頃のつらい思い出
お仕事としてDrupalの保守を担当していたころの話として結構つらかった、例えばこんな感じで
- タイムゾーンの問題でセキュリティパッチの提供は日本時間の深夜から早朝にかけて
- アメリカとかのDrupalの会社のTwitterでピザ食べながら待機みたいのを尻目にひたすら待つ
- 眠気と闘いながらひとり寂しくリリースを待ちパッチを当てる
- 朝が来て通常業務が開始する(昼寝するけど)
セキュリティのリスク評価が Highly Critical とかだと数日前にパッチのリリースと時間帯だけ発表されるので気が重かった。
他のWAFとどう違うか?
たぶん仕組みとかはそれほど違わないけど、コミュニティなどから脆弱性の報告を受けたり修正対応するDrupal Security Teamが提供されるのが安心ポイントだと思う。
費用
月15ドルからの従量制で以下のリンクからアクセス数を入力することで概算が出せる
最後に
業務で使う分には高くない気がするし、だれか使ったらレビューして教えてください。
他のOSSのCMSに比べて、セキュリティ周りがしっかりしてるのもDrupalのアピールポイントかと思うのでこのDrupal Stewardでさらに良いものになると思います。