Frage Ist MariaDB ein sicherer Ersatz für MySQL?


Ich verwende MariaDB, "einen erweiterten, drop-in Ersatz für MySQL" auf meinen Debian Stable Servern seit Jahren, wegen seiner erhöhten Leistung.

Ich habe jedoch festgestellt, dass es in Bezug auf Sicherheitsupdates in MySQL scheinbar nicht mehr funktioniert. zum Beispiel, da ist DSA 3229-1 Dort sind mehrere Sicherheitslücken aufgelistet, die im Debian-Stable nicht gepatcht zu sein scheinen mariadb Paket.

Ist dies ein Kompromiss zwischen Sicherheit und Geschwindigkeit? Ist MariaDB generell bei Sicherheitsupdates im Rückstand oder ist das nur einmalig?


33
2018-04-20 09:44


Ursprung


Ich denke, die Frage sollte in DBA StackExchange verschoben werden, aber ich weiß nicht, wie ich sie vorschlagen soll. - BuahahaXD


Antworten:


Maria-DB ist nicht eine leistungsverbesserte MySQL-Version.

Maria-DB ist die gegabelt MySQL-Version aktuell im Open-Source-Bereich verwendet. Es wurde von MySQL gespalten, weil Misstrauen darüber besteht, wie sich Oracle in Bezug auf den ursprünglichen MySQL-Code verhalten wird. Sie können hier für weitere Informationen sehen.

Während bis Version 5.1 beide mehr oder weniger den gleichen Code hatten, änderte sich dies deutlich. Dies bedeutet, dass es sich nun um zwei verschiedene (wenn auch weitgehend kompatible) Produkte handelt. Es ist also nicht automatisch, dass Fehler, die einen betreffen (z. B. MySQL), auf den anderen (MariaDB) anwendbar sind.


39
2018-04-20 09:57



Das Zitat stammt von der MariDB-Homepage. Mein Sprichwort "seine erhöhte Leistung" bezieht sich auf meine eigene praktische Erfahrung in den spezifischen Projekten, für die ich sie benutzt habe. Ich verstehe, dass es auseinander gegangen ist. Du sagst also, dass diese CVEs für MariaDB wegen der Diverganz nicht unbedingt relevant sind? - artfulrobot
@artfulrobot Es könnte sein, dass sie nicht relevant sind oder dass sie nicht gleichzeitig den Maria-DB Betreuern gemeldet wurden, wie sie es bei Oracle waren. Umgekehrt könnte es sein, dass einige von ihnen zuerst in MariaDB fixiert wurden. - richardb
Eine weitere Überlegung: MySQL hat wahrscheinlich immer noch die größere Benutzerbasis, was bedeutet, dass es genauer untersucht wird. Es kann länger dauern, bis MariaDB-Sicherheitslücken entdeckt werden als für MySQL. - Kevin Keane
@KevinKeane Auf der anderen Seite bedeutet eine kleinere Benutzerbasis weniger Nachfrage nach Exploits und weniger Leute, die aktiv nach ihnen suchen. Diese beiden Faktoren heben sich gegenseitig auf. - Philipp
Es scheint, dass, wenn es einen bekannten Exploit für MySQL gibt, der Exploit gegen MariaDB getestet werden könnte, und umgekehrt. Es scheint fast unverantwortlich, dies nicht zu tun. - dotancohen