【IT168 分析评论】微软公司是软件卖主当中在安全问题投入最多热情的一个,但并不是最糟糕的一个。下一代安全软件机构(NGSS)对微软SQL Server和Oracle的关系数据库(RDBM)做了一个弱点对比,结果表明Oracle的数据库产品存在更多的弱点。
自2000年9月到2006年11月,依照NGSS,外部研究员发现Oracle有233个缺陷点,而SQL Server只有59个。这些缺陷在SQL Server7、2000以及2005中、在Oracle8、9以及10g版本中被报道,并被修复。
这一结果表明,在2002年MS SQL Server因其安全性问题而声誉下降是不恰当的,NGSS创始人David Litchfield说。而且微软不应该再因为其安全问题而被抨击了。
Litchfield说,我相信人们,特别是那些安全研究员的这种想法将成为过去。我们应该改进卖家在安全问题上的处理,微软在这方面的战斗已经取得胜利。还有其它的战斗需要去面对和战胜,Oracle 就是其中之一。结果表明微软软件发展生命周期过程已经显示出可运作性。
在一个电子邮件评论中,Oracle的女发言人说,一个产品被报告的缺陷点的数量并不能度量这个软件的安全性。她说:“产品具有丰富的特色、性能、版本以及支撑平台,安全性的度量是一个非常复杂的过程,消费者们必须考虑诸多因素--包括使用案例、缺省配置、缺陷补救以及揭发策略和实施等。”
仅仅是基于缺陷点的数量的发现和修补来评估产品的安全性并不是一个好的途径, Utah-based Burton集团的分析家Pete Lindstrom说,“显然Oracle赢得并不怎么光彩,”目前有一种比缺陷数量更好的标准能够度量软件的安全性。
当安全研究员们为考虑Oracle层层修复的bug而头疼时,他们逐渐将注意力集中到产品本身。10月份,公司宣布已经修复了超过100个缺陷。大多数缺陷是由外部研究员汇报给公司的。
本周Argeniss信息安全组织宣称计划在12月进行一次为期一周的零故障日活动。Cesar Cerrudo创始人说,这个主意将照亮目前Oracle软件安全性的态势。“我们希望证明Oracle不仅提供更安全的产品,而且持续地致力于bug修复工作。我们可以做到Oracle数据库故障年,但是我们认为一周的时间足以证明Oracle软件的故障情况。”
原文链接:http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005383&intsrc=hm_list
