وحید نصیری وحید نصیری
مقایسه امنیت Oracle11g و SQL server 2008 از دید آمار در سال 2009

جدول زیر تعداد باگ‌های امنیتی Oracle11g و SQL server 2008 را تا ماه نوامبر 2009 نمایش می‌دهد:


Product Advisories Vulnerabilities
SQL Server 2008 0 0
Oracle11g 7 239


و به صورت خلاصه مایکروسافت در 6 سال گذشته تنها 59 باگ امنیتی وصله شده مربوط به نگارش‌های مختلف SQL Server داشته است (از نگارش 2000 به بعد). در طی همین مدت اوراکل (نگارش‌های 8 تا 10) تعداد 233 وصله امنیتی را ارائه داده است.
در سال 2006 ، اس کیوال سرور 2000 با سرویس پک 4 ، به عنوان امن‌ترین بانک اطلاعاتی موجود در بازار شناخته شد (به همراه PostgreSQL). در همین زمان Oracle10g در قعر این جدول قرار گرفت.

اعداد و آمار از سایت secunia.com استخراج شده است: + و +

‫۱۴ سال و ۱۰ ماه قبل، شنبه ۲۸ آذر ۱۳۸۸، ساعت ۲۱:۴۵
۳۰۰۳
۶
SQL Server
مطالب مشابه
  • #
    مهمان مهمان
    ‫۱۴ سال و ۱۰ ماه قبل، یکشنبه ۲۹ آذر ۱۳۸۸، ساعت ۰۳:۲۷
    سایت secunia.com تو این زمینه معتبره؟
    من تا امروز بر عکس این جریان فکر می کردم!
  • #
    وحید نصیری وحید نصیری
    ‫۱۴ سال و ۱۰ ماه قبل، یکشنبه ۲۹ آذر ۱۳۸۸، ساعت ۱۲:۴۸
    بله. سایت بی طرفی است و یکی از کارهایش جمع کردن آمارهای اینگونه است.
  • #
    مهمان مهمان
    ‫۱۴ سال و ۱۰ ماه قبل، یکشنبه ۲۹ آذر ۱۳۸۸، ساعت ۱۳:۲۴
    مدیر بخش نرم افزار ما که یک پزشک هست اگر این رو ببینه سکته می کنه D:
  • #
    وحید نصیری وحید نصیری
    ‫۱۴ سال و ۱۰ ماه قبل، یکشنبه ۲۹ آذر ۱۳۸۸، ساعت ۱۶:۴۱
    کم شدن باگ‌های امنیتی مایکروسافت در چند سال اخیر سه دلیل عمده داشته:
    - استفاده بیشتر از دات نت فریم ورک در محصولات عمده خودش (اس کیوال سرور، exchange server، SharePoint و ...). برای مثال دات نت فریم ورک به حملات سرریز بافر (اگر کد خالص دات نتی باشد و از API ویندوز به صورت ناشیانه استفاده نکرده باشد) مقاوم است و خیلی مسایل دیگر که به صورت توکار در دات نت لحاظ شده.
    - وضع کردن یک سری قوانین سفت و سخت در مورد کتابخانه‌ها و توابع C مورد استفاده در محصولات نوشته شده با سی و CPP
    https://www.dntips.ir/2009/05/bannedh.html
    - تهیه برنامه‌هایی که کار آنالیز خودکار فایل‌های باینری و همچنین سورس‌ کدهای سازمان آن‌را انجام می‌دهند. به این صورت قبل از اینکه دیگران از سیستم‌های آن‌ها باگ‌های متداول را درآورند، خودشان نسبت به اینکار اقدام می‌کنند.
    http://blogs.msdn.com/bharry/archive/2009/10/02/two-free-security-tools-from-microsoft-sdl-team.aspx
    https://www.dntips.ir/2009/11/blog-post.html
  • #
    مهمان مهمان
    ‫۱۴ سال و ۱۰ ماه قبل، پنجشنبه ۳ دی ۱۳۸۸، ساعت ۰۳:۰۲
    یه موضوعی که تو این آمار بهش اشاره نشده تعداد و میزان حرفه ای بودن پروژه هایی هست که دارن از این دیتابیس ها استفاده میکنن. ممکنه این آمار اینجوری بدست اومده باشه که مثلا 10 تا سرور اوراکل تپل رو اومده مقایسه کرده باشه با 2تا سرور اس کیو ال معمولی و در این حالت باگ ها رو شمرده باشه. طبیعتا باگ های امنیتی اونی که در پروژه های بیشتری استفاده شده و سطح پروژه هم اینترپرایزتر هست ملموس تر هست. مثله قضیه ویندوز و لینوکس منظورم هست که اگه فراگیری ویندوز رو لینوکس هم داشت مطمئنا مورد حمله های بیشتری به نسبت ویندوز قرار می گرفت.
  • #
    وحید نصیری وحید نصیری
    ‫۱۴ سال و ۱۰ ماه قبل، پنجشنبه ۳ دی ۱۳۸۸، ساعت ۰۴:۰۵
    - این آمار فقط بر اساس تعداد وصله‌های ارائه شده است نه بر اساس تعداد پروژه‌ها یا تعداد سرورها و غیره.
    - کسانی که در این زمینه فعالیت می‌کنند و از محصولات باگ در می‌آورند عموما در شرکت‌های امنیتی کاری به سرورهای شما یا پروژه‌های شما ندارند. مطالعات و مهندسی معکوس خودشون رو در آزمایشگاه‌های مجازی تهیه شده انجام می‌دن.
    - علت استقبال از اوراکل در یک سری از شرکت‌ها داشتن نسخه‌ی لینوکسی آن است.

    مایکروسافت مقایسه‌ای رو بین آخرین نگارش‌های این محصولات اینجا انجام داده که فارق از شرکت تهیه کننده آن آمارهای جالبی را ارائه می‌دهد:
    http://www.microsoft.com/sqlserver/2008/en/us/compare-oracle.aspx