MariaDB è un sostituto sicuro di MySQL?

33

Sto usando MariaDB, "un sostituto drop-in avanzato per MySQL" sui miei server Debian stabili per anni, a causa delle sue prestazioni migliorate.

Tuttavia ho notato che sembra essere in ritardo rispetto agli aggiornamenti di sicurezza in MySQL; per esempio, c'è DSA 3229-1 che elenca diverse vulnerabilità, che non sembrano essere patchate nel mariadbpacchetto stabile Debian .

È un compromesso tra sicurezza e velocità? MariaDB è generalmente indietro rispetto agli aggiornamenti di sicurezza o è solo una tantum?

mysql  security  mariadb 
artfulrobot
fonte
Penso che la domanda dovrebbe essere spostata in DBA StackExchange ma non so come proporla.
BuahahaXD

Risposte:

39

Maria-DB non è una versione MySQL ottimizzata per le prestazioni.

Maria-DB è la versione biforcuta di MySQL attualmente utilizzata nello spazio open source. È stato biforcuto da MySQL a causa della sfiducia nel modo in cui Oracle si comporterà rispetto al codice MySQL originale. Puoi vedere qui per maggiori informazioni.

Mentre fino alla versione 5.1 entrambi erano più o meno lo stesso codice, per 5.5 questo è cambiato in modo significativo. Ciò significa che ora sono due prodotti diversi (anche se in gran parte compatibili), quindi non è automatico che le errate che interessano uno (ad esempio: MySQL) siano applicabili all'altro (MariaDB).

shodanshok
fonte
1
La citazione è dalla homepage di MariDB. Il mio detto "la sua prestazione migliorata" è sulla mia esperienza nel mondo reale sui progetti specifici per cui l'ho usata. Capisco che è divergente. Quindi stai dicendo che questi CVE non sono [necessariamente] rilevanti per MariaDB a causa della divergenza?
artfulrobot
3
@artfulrobot È possibile che non siano rilevanti o che non siano stati segnalati ai manutentori di Maria-DB contemporaneamente, come lo sono stati per Oracle. Al contrario, potrebbe essere che alcuni di essi siano stati corretti per primi in MariaDB.
richardb,
1
Ancora una considerazione: MySQL probabilmente ha ancora la base di utenti più ampia, il che significa che sarà esaminato più attentamente. Potrebbe essere necessario più tempo per scoprire le vulnerabilità di MariaDB che per MySQL.
Kevin Keane,
1
@KevinKeane Ma d'altra parte, una base di utenti più piccola significa meno domanda di exploit e meno persone che le cercano attivamente. Questi due fattori si annullano a vicenda.
Philipp,
1
Sembrerebbe che se esiste un exploit noto per MySQL, l'exploit potrebbe essere testato contro MariaDB e viceversa. Sembrerebbe quasi irresponsabile non farlo.
dotancohen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.