Apakah MariaDB pengganti yang aman untuk MySQL?

33

Saya telah menggunakan MariaDB, "pengganti MySQL yang ditingkatkan dan drop-in" di server stabil Debian saya selama bertahun-tahun, karena kinerjanya yang meningkat.

Namun saya perhatikan bahwa kelihatannya ada hubungannya dengan pembaruan keamanan di MySQL; misalnya, ada DSA 3229-1 yang mencantumkan beberapa kerentanan, yang tampaknya tidak ditambal dalam mariadbpaket stabil Debian .

Apakah ini keamanan versus pengorbanan kecepatan? Apakah MariaDB pada umumnya ketinggalan pada pembaruan keamanan atau ini hanya satu kali?

artfulrobot
sumber
Saya pikir pertanyaannya harus dipindahkan ke DBA StackExchange tapi saya tidak tahu bagaimana cara mengajukannya.
BuahahaXD

Jawaban:

39

Maria-DB bukan versi MySQL yang ditingkatkan kinerja.

Maria-DB adalah versi MySQL bercabang yang digunakan saat ini di ruang sumber terbuka. Itu bercabang dari MySQL karena ketidakpercayaan tentang bagaimana Oracle akan berperilaku dalam hal kode MySQL asli. Anda dapat melihat di sini untuk informasi lebih lanjut.

Sementara sampai versi 5.1 keduanya kurang lebih kode yang sama, dengan 5,5 ini berubah secara signifikan. Ini berarti bahwa mereka sekarang adalah dua produk yang berbeda (walaupun sebagian besar kompatibel), sehingga tidak otomatis bahwa erratas yang mempengaruhi satu (misalnya: MySQL) dapat diterapkan ke yang lain (MariaDB).

shodanshok
sumber
1
Kutipan dari situs MariDB. Pepatah saya "kinerjanya yang ditingkatkan" adalah pada pengalaman dunia nyata saya sendiri pada proyek spesifik tempat saya menggunakannya. Saya mengerti bahwa itu berbeda. Jadi Anda mengatakan bahwa CVE ini [tidak] relevan dengan MariaDB karena perbedaannya?
artfulrobot
3
@artfulrobot Mungkin mereka tidak relevan, atau bahwa mereka tidak dilaporkan ke pengelola Maria-DB pada saat yang sama, karena mereka ke Oracle. Sebaliknya, mungkin beberapa dari mereka diperbaiki di MariaDB terlebih dahulu.
richardb
1
Satu pertimbangan lagi: MySQL mungkin masih memiliki basis pengguna yang lebih besar, yang berarti akan lebih banyak diteliti. Mungkin perlu waktu lebih lama untuk menemukan kerentanan MariaDB daripada MySQL.
Kevin Keane
1
@KevinKeane Tetapi di sisi lain, basis pengguna yang lebih kecil berarti lebih sedikit permintaan untuk eksploitasi dan lebih sedikit orang yang secara aktif mencari mereka. Kedua faktor ini saling membatalkan.
Philipp
1
Tampaknya jika ada eksploit yang diketahui untuk MySQL, maka eksploit tersebut dapat diuji terhadap MariaDB, dan sebaliknya. Tampaknya hampir tidak bertanggung jawab untuk tidak melakukannya.
dotancohen