MariaDB est-il un remplacement sécurisé pour MySQL?

33

J'utilise MariaDB, "un substitut amélioré pour MySQL" sur mes serveurs stables Debian depuis des années, en raison de ses performances accrues.

Cependant, j'ai remarqué que cela semble prendre du retard par rapport aux mises à jour de sécurité dans MySQL; Par exemple, le DSA 3229-1 répertorie plusieurs vulnérabilités qui ne semblent pas avoir été corrigées dans le mariadbpaquet stable Debian .

Est-ce un compromis entre la sécurité et la vitesse? MariaDB a-t-il généralement du retard sur les mises à jour de sécurité ou s'agit-il d'un cas unique?

mysql security mariadb artfulrobot
la source
Je pense que la question devrait être déplacée vers DBA StackExchange mais je ne sais pas comment la proposer.
BuahahaXD

Réponses:

39

Maria-DB n'est pas une version de MySQL à performances améliorées.

Maria-DB est la version actuelle de MySQL avec une fourche utilisée dans l'espace open source. Il provient de MySQL en raison de la méfiance à l'égard du comportement d'Oracle par rapport au code MySQL d'origine. Vous pouvez voir ici pour plus d'informations.

Jusqu'à la version 5.1, tous deux étaient plus ou moins le même code, la version 5.5 changeait considérablement. Cela signifie qu’il s’agit désormais de deux produits différents (bien que largement compatibles); il n’est donc pas automatique que les erratas affectant l’un (par exemple: MySQL) soient applicables sur l’autre (MariaDB).

Shodanshok
la source
1
La citation est tirée de la page d'accueil MariDB. Mon énoncé "sa performance accrue" est basé sur ma propre expérience du monde réel sur les projets spécifiques pour lesquels je l'ai utilisé. Je comprends que cela a divergé. Vous dites donc que ces CVE ne sont pas (nécessairement) pertinents pour MariaDB en raison de la divergence?
artfulrobot
3
@artfulrobot Il se peut qu'ils ne soient pas pertinents ou qu'ils n'aient pas été signalés aux mainteneurs de Maria-DB en même temps, comme ils l'étaient à Oracle. Inversement, il se peut que certains d’entre eux aient été corrigés d’abord dans MariaDB.
richardb
1
Une dernière considération à prendre en compte: MySQL possède probablement encore la base d'utilisateurs la plus large, ce qui signifie qu'elle sera analysée plus en détail. La découverte des vulnérabilités de MariaDB peut prendre plus de temps que pour MySQL.
Kevin Keane
1
@KevinKeane Mais d'un autre côté, une base d'utilisateurs plus petite signifie moins de demande pour les exploits et moins de personnes qui les recherchent activement. Ces deux facteurs s'annulent.
Philipp
1
Il semblerait que s’il existe un exploit pour MySQL, celui-ci pourrait alors être testé contre MariaDB, et inversement. Il semblerait presque irresponsable de ne pas le faire.
dotancohen