Tomcat、WebSphere和WebLogic的安全性比较

有趣的是，你的客户“担心Tomcat存在更多安全漏洞”。我想知道他们能否列出这些漏洞？如果他们不能，那就是谣言和恐吓。
我认为所有的web服务器/Servlet引擎都会遇到同样的问题。真正的安全漏洞在于部署在其上的应用程序。跨站脚本、SQL注入、缺乏输入验证、由于不良分层和实践而导致敏感数据暴露等都是应用程序问题，无论选择哪个应用服务器都会存在这些问题。
我的个人意见是WebLogic是市场上最好的Java EE应用服务器。我没有使用过WebSphere，但我尊重的人告诉我它很可怕。我只在本地开发中使用过Tomcat。它从未让我失望过，但这远远不是生产经验。我不知道它的可扩展性如何。
我建议仔细考虑Spring的dm Server，它基于Tomcat、Spring和OSGi。我有一种感觉，它代表了所有竞争对手未来的方向。

如果可能的话，我建议使用Tomcat而不是WebSphere。

我认为99％的安全性取决于您如何设置它。

您是否还评估了Apache HTTP Server，IBM HTTP Server和IIS的安全性影响？

安全性涉及的远不止选择哪个应用服务器来运行您的Web应用程序这么简单。

Tomcat安全报告

Websphere安全报告（您必须深入每个更新以查看修复了什么）

根据我的经验，WebSphere并没有添加任何不符合规范（因此在Tomcat上有一定支持）的东西。问题出现在尝试进行一些更复杂的安全技巧时（使用SecureID或其他方式进行管理员身份验证），需要深入挖掘。WebSphere试图将更多这方面的内容放入UI控制台中。
话虽如此，您的公司应该考虑在Glassfish上进行测试。它使用Tomcat作为其servlet容器，但为管理提供了更好的UI界面。

根据这篇文章，WebSphere社区版在Servlet引擎方面与Tomcat 5.5没有什么不同。我认为，这个决定应该基于整体所需功能而非所谓的“安全漏洞”。

多项不同的调查已经证实，全球超过60%的组织，包括最大的银行都在运行Tomcat。正如其他人所说，Tomcat的安全性不是问题。"Plain Vanilla" Tomcat缺少的是控制台和用户界面，许多企业需要这些功能来进行访问控制、诊断、监控、警报和配置。请查看MuleSoft的Tcat server。它是100%的Tomcat（没有分支），但具有运行Tomcat所需的企业级功能。

我无法说哪个更好，因为我从未使用过Tomcat，而且您并没有明确定义您的安全要求。安全可能是一个相当庞大的问题，并涉及不同层次。因此，您需要明确定义的需求，才能确定所需的安全功能。

我们使用集成了多个IBM产品的Websphere来为我们的应用程序提供安全访问，至今为止工作得非常好。您可以查找Webseal和Tivoli系列产品以增加WebSphere的安全性。