Oracle数据库是无法缺浮的吗?

网络安全专家Richard Bejtlich最近发布了一些有趣的 关于Oracle Security的评论 在他的博客上 taosecurity..

"谈到数据库安全,我有机会看到Red-Datable-Security GmbH的Alexander KornBrust关于Oracle(IN)安全的信息。他的谈话提醒我评论Thomas Ptacek曾经十年前的某些软件造成的某些软件,而现在我们有一些软件的战斗机会。听到Alex的谈话后,我认为Oracle属于不明的类别。甲骨文似乎在生产方面落后于同行组落后五年"secure" code."

我认为他在宏观层面的观察通常是正确的。 甲骨文似乎已经到了"secure coding"派对迟到了,有一个重要的C代码基础,其中一些是返回1982年左右的历史。 许多标准的PL / SQL软件包和相关的C库最初是在1990年代初期编写的。 有趣的游览是查看$ ORACLE_HOME / RDBMS / ADMIN SQL脚本的修改历史 - 您将看到许多这些脚本是在10到20年前创建的。 记住这些条款"buffer overflow" and "SQL injection"直到1996年和2000年,并没有真正进入词典。

要在安全编码时判断Oracle,您真的需要查看影响最近的数据库和应用程序服务器版本的漏洞数。 到目前为止,结果是混合的,但令人鼓舞。 虽然,更多的时间要过去看队列中的安全错误。 

玛丽安戴维森,Oracle CSO经常 会谈 关于安全编码以及供应商如何更加公开他们的发展实践。 我真的很想知道Oracle是什么关于大量数据库代码基础,其中超过150个安全错误已经修复到日期。 Oracle已购买Fortify作为源代码扫描工具,但有一个20或100人团队致力于审核每一行代码。 今天发现的许多安全漏洞都可以在3或4年前在内部发现。

 Share this post