¿MariaDB es un reemplazo seguro para MySQL?

33

He estado usando MariaDB, "un reemplazo mejorado y directo para MySQL" en mis servidores estables de Debian durante años, debido a su mayor rendimiento.

Sin embargo, he notado que parece retrasarse en relación con las actualizaciones de seguridad en MySQL; por ejemplo, está el DSA 3229-1 que enumera varias vulnerabilidades, que no parecen estar parcheadas en el mariadbpaquete estable de Debian .

¿Es esto un compromiso de seguridad versus velocidad? ¿Está MariaDB generalmente atrasado en las actualizaciones de seguridad o es solo una excepción?

mysql security mariadb artfulrobot
fuente
Creo que la pregunta debería trasladarse a DBA StackExchange, pero no sé cómo proponerla.
BuahahaXD

Respuestas:

39

Maria-DB no es una versión de MySQL con rendimiento mejorado.

Maria-DB es la versión actual de MySQL bifurcada utilizada en el espacio de código abierto. Fue bifurcado de MySQL debido a la desconfianza en cómo se comportará Oracle con respecto al código MySQL original. Puedes ver aquí para más información.

Mientras que hasta la versión 5.1 ambos eran más o menos el mismo código, en 5.5 esto cambió significativamente. Esto significa que ahora son dos productos diferentes (aunque en gran medida compatibles), por lo que no es automático que las erratas que afectan a uno (por ejemplo: MySQL) sean aplicables al otro (MariaDB).

shodanshok
fuente
1
La cita es de la página de inicio de MariDB. Mi dicho "su mayor rendimiento" está en mi propia experiencia en el mundo real en los proyectos específicos para los que lo he usado. Entiendo que ha divergido. Entonces, ¿estás diciendo que estos CVE no son [necesariamente] relevantes para MariaDB debido a la divergencia?
artfulrobot
3
@artfulrobot Puede ser que no sean relevantes, o que no fueron informados a los mantenedores de Maria-DB al mismo tiempo, como lo fueron para Oracle. Por el contrario, podría ser que algunos de ellos se arreglaron primero en MariaDB.
richardb
1
Una consideración más: MySQL probablemente todavía tenga una base de usuarios más grande, lo que significa que se analizará más detenidamente. Puede llevar más tiempo descubrir las vulnerabilidades de MariaDB que MySQL.
Kevin Keane
1
@KevinKeane Pero, por otro lado, una base de usuarios más pequeña significa menos demanda de exploits y menos personas que los buscan activamente. Estos dos factores se cancelan mutuamente.
Philipp
1
Parecería que si hay un exploit conocido para MySQL, entonces el exploit podría probarse contra MariaDB, y viceversa. Parecería casi irresponsable no hacerlo.
dotancohen