Отличная пошаговая инструкция стратегу!
Известный факт, но все же…
… если кому-то нужны цифры, почему SQL безопаснее чем Oracle, отчет опубликован здесь [PDF].
Если коротко, то соотношение выявленных и исправленных (!) уязвимостей в Oracle 8,9,10 против SQL 7, 2000, 2005 в период с 2001 по 2006 годы выглядит так:
Для пытливых умов сразу даются ответы на очевидные вопросы:
Interpretation of results – some Q and A
Do Oracle’s results look so bad because it runs on multiple platforms?
No – pretty much most of the issues are cross-platform. In the 10gR2 graph every flaw affects every platform.
Do the SQL Server 2005 results have no flaws because no-one is looking at it?
No – I know of a number of good researchers are looking at it – SQL Server code is just more secure than Oracle code.
Do you have any predictions on the Oracle January 2007 Critical Patch Update?
Maybe – NGSSoftware are currently waiting for Oracle to fix 49 security flaws – these will be fixed sometime in 2007 and 2008.
Do these results contain unfixed flaws?
No – only those that have been publicly reported and fixed are in the data.
Источник: Which database is more secure? Oracle vs. Microsoft, David Litchfield, 21st November 2006
А вы что думаете?
Объясняю. Вот версия от имени другого лагеря:
Если посмотреть на версии Oracle за это время, то это 8, 9 и 10 – вещи принципиально революционные по новым возможностям и идеям. МС за это время выпускал продукты довольно сильно отстающие от уровня Oracle и IBM DB2. У МС более-менее приличная СУБД получилась с 2005 сервера. Причем SQL 2000 не менялся более пяти лет. Отсюда и вывод – не трогай продукт, патчей меньше придется делать.
Oracle забыл о СУБД больше чем Microsoft узнал за всю жизнь ))
PS Я не плохо отношусь к MS. У меня свои разборки с Oracle. Но больше всего на свете я не люблю "слабых маркетологов", которые думают что дешевыми трюками можно обдурить весь мир. Микрософту слив не засчитан ))
Мне что-то подсказывает, что по-хорошему надо как-то учесть нормировку по числу [крупных] инсталляций.
Миш, а по существу есть аргументы? J
Заметь, что в новой СУБД Microsoft проблем с безопасностью меньше, чем в старой! По твоей логике должно быть наоборот