O MariaDB é um substituto seguro para o MySQL?

33

Eu uso o MariaDB, "um substituto aprimorado para o MySQL" nos meus servidores estáveis ​​Debian há anos, devido ao seu desempenho aprimorado.

No entanto, notei que ele parece estar atrasado em relação às atualizações de segurança no MySQL; por exemplo, há o DSA 3229-1 que lista várias vulnerabilidades, que não parecem estar corrigidas no mariadbpacote estável da Debian .

Isso é uma troca de segurança versus velocidade? O MariaDB está geralmente atrasado nas atualizações de segurança ou é apenas uma ocorrência única?

mysql security mariadb artfulrobot
fonte
Acho que a pergunta deve ser movida para o DBA StackExchange, mas não sei como propor.
BuahahaXD

Respostas:

39

O Maria-DB não é uma versão MySQL com desempenho aprimorado.

Maria-DB é a versão bifurcada do MySQL atualmente usada no espaço de código aberto. Foi extraído do MySQL devido à desconfiança em como o Oracle se comportará em relação ao código original do MySQL. Você pode ver aqui para mais informações.

Enquanto até a versão 5.1 ambos eram mais ou menos o mesmo código, em 5.5 isso mudou significativamente. Isso significa que agora são dois produtos diferentes (embora amplamente compatíveis); portanto, não é automático que erratas que afetam um (por exemplo: MySQL) sejam aplicáveis ​​ao outro (MariaDB).

shodanshok
fonte
1
A citação é da página inicial do MariDB. Meu ditado "seu desempenho aprimorado" está na minha própria experiência do mundo real nos projetos específicos para os quais eu o usei. Eu entendo que ele divergiu. Então você está dizendo que esses CVEs não são [necessariamente] relevantes para o MariaDB por causa da divergência?
Artfulrobot
3
@artfulrobot Pode ser que eles não sejam relevantes ou que não tenham sido relatados aos mantenedores do Maria-DB ao mesmo tempo, como eram para a Oracle. Por outro lado, pode ser que alguns deles tenham sido corrigidos primeiro no MariaDB.
Richardb
1
Mais uma consideração: o MySQL provavelmente ainda possui uma base maior de usuários, o que significa que será analisado mais detalhadamente. Pode levar mais tempo para que as vulnerabilidades do MariaDB sejam descobertas do que para o MySQL.
Kevin Keane
1
@KevinKeane Mas, por outro lado, uma base de usuários menor significa menos demanda por explorações e menos pessoas procurando ativamente por elas. Esses dois fatores se cancelam.
Philipp
1
Parece que, se houver uma exploração conhecida para o MySQL, a exploração poderá ser testada no MariaDB e vice-versa. Parece quase irresponsável não fazer isso.
dotancohen