В Oracle Database больше ошибок, чем в SQL Server

Представители NGSS отметили, что Microsoft часто несправедливо критикует проблемы безопасности.

Microsoft может сказать, что это самый популярный производитель программного обеспечения в области безопасности. Но не все отзывы о компании считаются плохими.

Next Generation Security Software (NGSS), британская компания-разработчик программного обеспечения, провела исследование программного обеспечения базы данных Microsoft SQL Server и программы Oracle по управлению реляционными базами данных (RDBM). Результаты показывают, что SQL имеет больше преимуществ в плане безопасности, чем Oracle.

С декабря 2000 года по ноябрь 2006 года обширное исследование этих двух пакетов показало, что в продуктах Oracle было 233 уязвимости, тогда как в SQL Server было всего 59 уязвимостей. Эти уязвимости, в свою очередь, регистрируются и исправляются в SQL Server 7, SQL Server 2000 и SQL Server 2005; соответствует Oracle Database v.8, v.9 и v.10g.

На рисунке 1 в Oracle Database больше ошибок, чем в SQL Server

 <em>Источник: интегральный бухгалтерский учет.</em> Из этих результатов видно, что плохая безопасность хорошо известной безопасности в MS SQL Server 2000 значительно снизилась.  Основатель NGSS Дэвид Литчфилд также сказал, что Microsoft действительно совершила прорыв в области безопасности баз данных. 

В этой битве победила Microsoft. Мнения производителей, предприятий, потребителей и исследователей Microsoft в области баз данных значительно улучшились. Софтверный гигант все еще разрабатывает продукты, у которых есть программа, ограничивающая период работы. У компании также есть «много других битв, которые необходимо выиграть, и Oracle — лишь одна из них», — сказал Литчфилд.

Oralce дал некоторую реакцию. В комментарии, отправленном по электронной почте, представитель компании сказал, что количество уязвимостей в независимом продукте не может подтвердить уровень безопасности всего программного обеспечения.

По словам представителя, » продукты очень широко определены с точки зрения состава, возможностей, а также количества поддерживаемых версий и платформ. Определение безопасности — это очень интегрированный процесс. Потребители должны видеть. Основываясь на многих факторах, включая обстоятельства использования, конфигурацию по умолчанию, а также возможности ремонта, общедоступные политики и фактические возможности «.

Участвуя в дискуссии, Пит Линдстрем, аналитик Burton Group’s Midvale, компания из Юты, сказал, что она в основном оценивает безопасность продукта, основываясь исключительно на количестве обнаруженных дыр. Существующий и отремонтированный — это настоящий фасад. » Oracle смотрит на поверхность, это кажется проигрышным предложением, но на самом деле он должен учитывать многие другие стандарты в дополнение к уязвимостям. «при оценке уровней безопасности.

И Линдстрем скептически относится к тому, что, возможно, до сих пор » судьи все еще не понимают, какое программное обеспечение безопаснее . »

Отчет NGSS появился в то время, когда исследователи в области безопасности были недовольны темпами медленных исправлений Oracle и повысили их интерес к ее продуктам. В октябре компания объявила, что исправила более 100 уязвимостей в рамках своей ежеквартальной программы обновления безопасности. Многие дыры были обнаружены исследователями за пределами фирмы.

На этой неделе охранная компания Argeniss Information Security (AIS) в Буэнос-Айресе объявила, что в декабре компания планирует объявлять ежедневную ошибку нулевого дня для каждой недели.

В заявлении на веб-сайте компании Сезар Серрудо из Argeniss Information Security сказал, что причина, по которой у них возникла эта идея, связана с текущей ситуацией с безопасностью программного обеспечения Oracle. «Мы хотим, чтобы все знали, что Oracle не добилась большего в области безопасности своих продуктов». Oracle потребуется очень много времени, чтобы разрешить эту ситуацию. «Возможно, у нас будут годы уязвимостей Oracle Database, даже если нам понадобится всего одна неделя, чтобы узнать обо всех уязвимостях в программном обеспечении Oracle», — говорится на веб-сайте AIS.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.