Im Rahmen eines Audits wird ein Projekt bzw. einzelne Projektbestandteile (Module, Templates, API-Integrationen, Features,...) einem Review unterzogen. Ergebnis des Audits ist eine ausführliche schriftliche Dokumentation samt einem Katalog an Handlungsempfehlungen.
Die Handlungsempfehlungen sind in folgende Kategorien unterteilt:
- Level 1 - notwendig für einen sicheren Betrieb der Seite (Beispiel: fehlendes Sicherheitsupdate)
- Level 2 - empfohlen für einen optimalen Betrieb der Seite (Beispiel: nicht verwendete Module sind installiert)
- Level 3 - empfohlen für Projekte die aktiv weiterentwickelt bzw. gewartet werden (Beispiel: Custom-Code ist nicht kommentiert/dokumentiert)
Essentieller Teil des Audits ist ein Security-Check der beginnend bei der Server-Konfiguration bis hin zur Analyse von Custom-Code potentielle Risiken aufdeckt. Zusätzlich wird das gesamte System auf seine Update-Fähigkeit untersucht, damit künftig Sicherheitsupdates problemlos eingespielt werden können.
Bei einem 2017 durchgeführten Audit für ein österreichisches Unternehmen (Telekommunikation) wurden beispielsweise folgende Level 1 Empfehlungen ausgesprochen (Auszug):
This file exposes the complete php config to the public and should be removed or secured properly.
Update to the last security release (7.56).
Update modules for which a security-update is available: SMTP Authentication Support (smtp), References (references).
Undo all changes in contrib modules and use the Drupal way of modifying templates, CSS and functionality. Otherwise site functionality and/or appearance may change if a module is updated.
Update the database properly, otherwise this can cause a breakdown of the production site.
Files should be secured properly.
Features that are not finished should not be available on the live-site.
Before the recommendation above is not implemented, do not update the theme. This would cause a complete breakdown of the site.
Weiters wurden über 50 Level 2 und Level 3 Empfehlungen ausgesprochen. Auf Basis des Audits wurde dann seitens des Dienstleisters nachgebessert und alle Level 1 Empfehlungen wurden umgesetzt.