【IT168 分析評論】微軟公司是軟件賣主當中在安全問題投入最多熱情的一個,但並不是最糟糕的一個。下一代安全軟件機構(NGSS)對微軟SQL Server和Oracle的關系數據庫(RDBM)做了一個弱點對比,結果表明Oracle的數據庫產品存在更多的弱點。
自2000年9月到2006年11月,依照NGSS,外部研究員發現Oracle有233個缺陷點,而SQL Server只有59個。這些缺陷在SQL Server7、2000以及2005中、在Oracle8、9以及10g版本中被報道,並被修復。
這一結果表明,在2002年MS SQL Server因其安全性問題而聲譽下降是不恰當的,NGSS創始人David Litchfield說。而且微軟不應該再因為其安全問題而被抨擊了。
Litchfield說,我相信人們,特別是那些安全研究員的這種想法將成為過去。我們應該改進賣家在安全問題上的處理,微軟在這方面的戰斗已經取得勝利。還有其它的戰斗需要去面對和戰勝,Oracle 就是其中之一。結果表明微軟軟件發展生命周期過程已經顯示出可運作性。
在一個電子郵件評論中,Oracle的女發言人說,一個產品被報告的缺陷點的數量並不能度量這個軟件的安全性。她說:“產品具有豐富的特色、性能、版本以及支撐平台,安全性的度量是一個非常復雜的過程,消費者們必須考慮諸多因素--包括使用案例、缺省配置、缺陷補救以及揭發策略和實施等。”
僅僅是基於缺陷點的數量的發現和修補來評估產品的安全性並不是一個好的途徑, Utah-based Burton集團的分析家Pete Lindstrom說,“顯然Oracle贏得並不怎麼光彩,”目前有一種比缺陷數量更好的標准能夠度量軟件的安全性。
當安全研究員們為考慮Oracle層層修復的bug而頭疼時,他們逐漸將注意力集中到產品本身。10月份,公司宣布已經修復了超過100個缺陷。大多數缺陷是由外部研究員匯報給公司的。
本周Argeniss信息安全組織宣稱計劃在12月進行一次為期一周的零故障日活動。Cesar Cerrudo創始人說,這個主意將照亮目前Oracle軟件安全性的態勢。“我們希望證明Oracle不僅提供更安全的產品,而且持續地致力於bug修復工作。我們可以做到Oracle數據庫故障年,但是我們認為一周的時間足以證明Oracle軟件的故障情況。”
