Является ли MariaDB безопасной заменой для MySQL?

33

Я уже много лет использую MariaDB, «улучшенную замену MySQL» на моих стабильных серверах Debian из-за его повышенной производительности.

Однако я заметил, что он, похоже, отстает по отношению к обновлениям безопасности в MySQL; например, есть DSA 3229-1, в котором перечислены несколько уязвимостей, которые, по-видимому, не исправлены в стабильном mariadbпакете Debian .

Это компромисс между безопасностью и скоростью? MariaDB, как правило, отстает в обновлениях безопасности или это единовременно?

mysql security mariadb artfulrobot
источник
Я думаю, что вопрос должен быть перенесен в DBA StackExchange, но я не знаю, как это предложить.
BuahahaXD

Ответы:

39

Maria-DB не является версией MySQL с улучшенной производительностью.

Maria-DB - это разветвленная версия MySQL, используемая в пространстве с открытым исходным кодом. Он был разветвлен из MySQL из-за недоверия к тому, как Oracle будет вести себя в отношении исходного кода MySQL. Вы можете увидеть здесь для получения дополнительной информации.

В то время как до версии 5.1 оба кода были более или менее одинаковыми, к 5,5 это значительно изменилось. Это означает, что они теперь являются двумя разными (хотя и в значительной степени совместимыми) продуктами, поэтому не является автоматическим, что ошибки, влияющие на один (например, MySQL), применимы к другому (MariaDB).

shodanshok
источник
1
Цитата с домашней страницы MariDB. Мое высказывание «его повышенная производительность» основано на моем собственном реальном опыте конкретных проектов, для которых я его использовал. Я понимаю, что это разошлось. Итак, вы говорите, что эти CVE не [обязательно] относятся к MariaDB из-за расхождения?
artfulrobot
3
@artfulrobot Возможно, они не имеют отношения к делу или что они не были сообщены сопровождающим Maria-DB в то же время, что и Oracle. И наоборот, возможно, что некоторые из них были исправлены в MariaDB первыми.
Ричардб
1
Еще одно соображение: MySQL, вероятно, все еще имеет большую пользовательскую базу, что означает, что он будет более тщательно изучен. Для обнаружения уязвимостей MariaDB может потребоваться больше времени, чем для MySQL.
Кевин Кин
1
@KevinKeane Но с другой стороны, меньшая база пользователей означает меньший спрос на эксплойты и меньше людей, активно их ищущих. Эти два фактора нейтрализуют друг друга.
Филипп
1
Казалось бы, если есть известный эксплойт для MySQL, то этот эксплойт можно было бы проверить на MariaDB, и наоборот. Казалось бы, почти безответственно не делать этого.
dotancohen