Czy MariaDB jest bezpiecznym zamiennikiem MySQL?

33

Od lat używam MariaDB, „ulepszonego, zastępującego MySQL” na moich stabilnych serwerach Debiana, ze względu na jego zwiększoną wydajność.

Zauważyłem jednak, że wydaje się, że opóźnia się w stosunku do aktualizacji bezpieczeństwa w MySQL; na przykład istnieje DSA 3229-1, który wymienia kilka luk w zabezpieczeniach, które nie wydają się być załatane w stabilnym mariadbpakiecie Debiana .

Czy jest to kompromis między bezpieczeństwem a szybkością? Czy MariaDB jest generalnie opóźniona w aktualizacjach zabezpieczeń, czy to tylko jednorazowa?

artfulrobot
źródło
Myślę, że pytanie należy przenieść do DBA StackExchange, ale nie wiem, jak je zaproponować.
BuahahaXD

Odpowiedzi:

39

Maria-DB nie jest wersją MySQL o podwyższonej wydajności.

Maria-DB jest obecnie rozwidloną wersją MySQL używaną w przestrzeni open source. Został opracowany z MySQL z powodu nieufności w zachowaniu Oracle w stosunku do oryginalnego kodu MySQL. Możesz zobaczyć tutaj, aby uzyskać więcej informacji.

O ile do wersji 5.1 oba były mniej więcej tym samym kodem, o 5.5 zmieniło się to znacznie. Oznacza to, że są to teraz dwa różne (aczkolwiek w dużej mierze kompatybilne) produkty, więc nie jest automatyczne, że błędy dotyczące jednego (np. MySQL) mają zastosowanie do drugiego (MariaDB).

Shodanshok
źródło
1
Cytat pochodzi ze strony głównej MariDB. Moje powiedzenie „jego zwiększona wydajność” opiera się na moich własnych rzeczywistych doświadczeniach w konkretnych projektach, w których go wykorzystałem. Rozumiem, że się rozdzielił. Więc mówisz, że te CVE nie są [koniecznie] istotne dla MariaDB z powodu rozbieżności?
artfulrobot
3
@artfulrobot Możliwe, że nie są one istotne lub że nie zostały zgłoszone do opiekunów Maria-DB w tym samym czasie, co do Oracle. I odwrotnie, być może niektóre z nich zostały najpierw naprawione w MariaDB.
richardb
1
Jeszcze jedna uwaga: MySQL prawdopodobnie nadal ma większą bazę użytkowników, co oznacza, że ​​będzie bardziej szczegółowo analizowany. Odkrywanie luk w zabezpieczeniach MariaDB może potrwać dłużej niż w przypadku MySQL.
Kevin Keane,
1
@KevinKeane Z drugiej strony mniejsza baza użytkowników oznacza mniejsze zapotrzebowanie na exploity i mniej osób aktywnie ich poszukujących. Te dwa czynniki się znoszą.
Filip
1
Wydaje się, że jeśli istnieje znany exploit dla MySQL, wówczas można go przetestować pod kątem MariaDB i odwrotnie. Nie wydaje się to nieodpowiedzialne.
dotancohen