[引用]MS SQL比Oracle安全

原文請參閱:

NGSSoftware的David Litchfield在2006年11月21日所發佈的研究報告中(http://www.nextgenss.com/research/papers/comparison.pdf),
並且http://news.sina.com.tw/tech/sinacn/cn/2006-11-22/15083896892.shtml裡頭摘要了David的研究報告中, Litchfield說:『我五分鐘就能在Oracle 10g中發現一個新BUG,但是對於SQL Server 2005我做不到。』,
這出乎我的意料之外,因為研究的樣本是從SQL Server 7/2000,一直到SQL Server 2005,
我自己是使用MS SQL, 但總一直認為,或者聽別人說Oracle在各方面比SQL Server要好,後來就信以為真了,
如今有第三者的客觀測試,其結果雖然令我意外,但也讓我更加有信心繼續使用MS SQL Server了。
所以不能人云亦云,一定要有證據..

節錄Litchfield中的針對研究Q & A

Q1. Do Oracle’s results look so bad because it runs on multiple platforms?
(會不會是Oracle執行在多種平台而造成其安全性方面的結果如此的差?)
A1. No – pretty much most of the issues are cross-platform. In the 10gR2 graph every flaw affects every platform.
(不是這樣的,大部份發現到Oralce的問題是全面性平台的問題,就以10gR2的版本來說,其發現在每個問題都影響到每個安裝的平台)

Q2. Do the SQL Server 2005 results have no flaws because no-one is looking at it?
(SQL Server 2005查無任何的問題是否因為沒有去找它的碴 ?)
A2. No – I know of a number of good researchers are looking at it – SQL Server code is just
more secure than Oracle code.
(錯,就我所知道有一群研究人正在找SQL Server 2005的碴, 只是SQL Server的程式比Oracle更安全)

Q3. Do you have any predictions on the Oracle January 2007 Critical Patch Update?
(你認為Oracle會於明年初月時推出更新補丁嗎?)
A3. Maybe – NGSSoftware are currently waiting for Oracle to fix 49 security flaws – these
will be fixed sometime in 2007 and 2008.
(或許吧, NGSoftware一直等著Oracle來修補49個問題,而修補完這些問題可以會在明年至後年才能完成吧.)

Q4. Do these results contain unfixed flaws?
(Oracle被發現到問題當中,是否有些沒有辦法修復?)
A4 . No – only those that have been publicly reported and fixed are in the data.
(不是的, 這裡發現到的問題是那些公開已被修復的.)

Q5. Why have there been so little bugs found in SQL Server since 2002?
A5. Three words: Security Development Lifecycle – SDL. SDL is far and above the most
important factor. A key benefit of employing SDL means that knowledge learnt after
finding and fixing screw ups is not lost; instead it is ploughed back into to the cycle. This
means rather than remaking the same mistakes elsewhere you can guarantee that new
code, whilst not necessarily completely secure, is at least more secure than the old code.

給MS SQL一個肯定的掌聲.

廣告
Categories: 電腦和網際網路 | 發表留言

文章分頁導航

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: