Java Tomcat与WebSphere与WebLogic的安全性

我工作的公司销售一个运行在Tomcat、WebSphere或WebLogic上的J2EE应用程序。我们有一个客户正试图在Tomcat和WebSphere之间做出选择。他们倾向于WebSphere，因为他们担心Tomcat有更多的安全漏洞

在网上搜索之后，我找不到任何从安全角度比较主要J2EE应用服务器健壮性的站点或研究

---

你们中有谁能告诉我一些比较应用服务器安全漏洞的信息吗？

根据我的经验，WebSphere并没有添加任何不符合规范的内容（因此在Tomcat上有一定的支持）。当您尝试执行一些更复杂的安全技巧（使用SecureID进行管理员身份验证等）时，问题就出现了，您需要深入挖掘。WebSphere试图在UI控制台中添加更多的内容

---

也就是说，你们公司应该考虑对玻璃鱼进行测试。它使用Tomcat作为servlet容器，但为管理添加了更好的UI。

因此，WebSphere community addition在servlet引擎方面与Tomcat 5.5没有什么不同。在我看来，这个决定应该基于所需的总体功能，而不是感知到的“安全漏洞”。

我不能说其中一个是否优于另一个，因为我从未使用过Tomcat，而且您还没有定义您的安全需求。安全性可能是一个相当大的问题，涉及到不同的层面。因此，您甚至需要定义良好的需求来确定需要哪些安全特性

---

我们使用Websphere与其他几个IBM产品集成，以提供对我们的应用程序的安全访问，到目前为止，我们的应用程序运行良好。您可以查找Webseal和Tivoli产品系列，以增加WebSphere的安全性。

如果可能的话，我会说在WebSphere上使用tomcat

我认为99%的安全性是你如何设置的

您是否也在评估ApacheHTTP服务器、IBMHTTP服务器和IIS的安全含义

安全性涉及的不仅仅是您选择在哪个应用程序服务器上运行Web应用程序

---

（您必须深入了解每个更新以查看修复的内容）

有趣的是，您的客户“担心Tomcat有更多的安全漏洞”。我想知道他们是否可以列出这些漏洞？如果他们不能，那就是道听途说和胡说八道

我想说的是，所有web服务器/servlet引擎都面临着相同的问题。部署在它们上面的应用程序才是真正的安全漏洞。跨站点脚本、SQL注入、缺少输入验证、由于分层和实践不当而暴露敏感数据——这些都是应用程序问题，无论您选择哪个应用程序服务器，这些问题都将成为问题

我个人认为WebLogic是市场上最好的JavaEE应用服务器。我没有WebSphere的第一手经验，但我尊敬的人告诉我这是一场恐怖秀。我只使用Tomcat进行本地开发。这从未让我失望过，但这几乎不是生产经验。我不知道它的规模

---

我会仔细考虑Spring的dm服务器，它基于Tomcat、Spring和OSGi。我有一种感觉，它代表了所有竞争对手都将采取的未来方向。

几项不同的调查证实，Tomcat在全球60%以上的组织中运行，包括最大的银行。正如其他人所说，Tomcat安全性不是问题所在。“普通”Tomcat缺少的是许多企业在访问控制、诊断、监控、警报和资源调配方面所需要的控制台和UI。从MuleSoft退房。它是100%的Tomcat（没有fork），但具有运行Tomcat的企业功能。

WebSphere Application Server Community Edition不是WebSphere Application Server，而是Apache Geronimo。参考一下调查或研究就好了+尽管如此，我还是想听听关于Tcat的建议。