Ist MariaDB ein sicherer Ersatz für MySQL?

33

Ich benutze seit Jahren MariaDB, "einen erweiterten, einbaufähigen Ersatz für MySQL" auf meinen Debian-Stable-Servern, wegen seiner erhöhten Leistung.

Allerdings ist mir aufgefallen, dass es im Zusammenhang mit Sicherheitsupdates in MySQL anscheinend zu Verzögerungen kommt. Zum Beispiel gibt es DSA 3229-1, das mehrere Schwachstellen auflistet, die nicht im Debian-Stable- mariadbPaket gepatcht zu sein scheinen .

Ist dies ein Kompromiss zwischen Sicherheit und Geschwindigkeit? Ist MariaDB in der Regel hinter Sicherheitsupdates zurückgeblieben oder handelt es sich nur um eine einmalige Angelegenheit?

mysql security mariadb Kunstvollroboter
quelle
Ich denke, die Frage sollte nach DBA StackExchange verschoben werden, aber ich weiß nicht, wie ich sie vorschlagen soll.
BuahahaXD

Antworten:

39

Maria-DB ist keine leistungsgesteigerte MySQL-Version.

Maria-DB ist die gegabelte MySQL-Version, die derzeit im Open-Source-Bereich verwendet wird. Es wurde von MySQL aufgrund von Misstrauen in das Verhalten von Oracle in Bezug auf den ursprünglichen MySQL-Code gespalten. Sie können hier für weitere Informationen sehen.

Während bis zur Version 5.1 beide mehr oder weniger den gleichen Code hatten, änderte sich dieser um 5.5 erheblich. Dies bedeutet, dass es sich nun um zwei verschiedene (wenn auch weitgehend kompatible) Produkte handelt. Es ist also nicht automatisch, dass Fehler, die einen betreffen (z. B. MySQL), auf den anderen zutreffen (MariaDB).

Shodanshok
quelle
1
Das Zitat stammt von der MariDB-Homepage. Mein Sprichwort "seine gesteigerte Leistung" beruht auf meiner eigenen realen Erfahrung mit den spezifischen Projekten, für die ich es verwendet habe. Ich verstehe, dass es auseinander gegangen ist. Sie sagen also, dass diese CVEs wegen der Diverganz für MariaDB [nicht unbedingt] relevant sind?
Artfulrobot
3
@artfulrobot Möglicherweise sind sie nicht relevant oder wurden nicht gleichzeitig den Betreuern von Maria-DB gemeldet, wie dies bei Oracle der Fall war. Umgekehrt könnte es sein, dass einige von ihnen zuerst in MariaDB behoben wurden.
Richardb
1
Noch eine Überlegung: MySQL hat wahrscheinlich immer noch die größere Benutzerbasis, was bedeutet, dass es genauer unter die Lupe genommen wird. Es kann länger dauern, bis MariaDB-Schwachstellen entdeckt werden als bei MySQL.
Kevin Keane
1
@ KevinKeane Auf der anderen Seite bedeutet eine kleinere Nutzerbasis weniger Nachfrage nach Exploits und weniger Leute, die aktiv nach ihnen suchen. Diese beiden Faktoren heben sich gegenseitig auf.
Philipp
1
Es scheint, dass wenn es einen bekannten Exploit für MySQL gibt, der Exploit gegen MariaDB getestet werden könnte und umgekehrt. Es scheint fast unverantwortlich, dies nicht zu tun.
Dotancohen