Меню
Поиск

Нечего на зеркало пенять...

6 сентябрь, 2007 - 12:52Игорь Шаститко

Обычно в вопросах безопасности продукты Microsoft выступали "мальчиками для битья" для экспертов безопасности... Но за последние несколько лет ситуация кардинально изменилась и теперь уже извечный конкурент и критик Microsoft - компания Oracle - попала под прицельный огонь тех же экспертов.

Как пишет InfoWorld в своей статье, посвященной безопасности флагманского продукта Oracle 11g

"...последняя версия СУБД 11g предлагает пользователям больше возможностей по защите информации, но ошибки в коде оставляют хакерам возможности для того, чтобы похитить эти данные..."

"...Oracle сделал существенный шаг вперед, но некоторые из уязвимостей являются просто глупейшими ошибками разработчиков..."

Некоторые ошибки Oracle в СУБД исправил уже сейчас, для некоторых выпуск заплаток откладывается, поскольку они являются ошибками архитектурного уровня, которые позволяют злоумышленнику обходить новую систему безопасности целиком.

Что потеряет от этого бизнес? Эксперты посчитали, что для одной компании, использующей около 8000 БД под управлением Oracle 11g установка только одной из заплаток выльется в 32000 часов рабочего времени ИТ, не включая затрат на тестирование и простои бизнеса. Впечатляет, это просто разорение, если учитывать, что в Украине рабочий год человека составляет в среднем 1660 часов... Это ж сколько админов-то придется набрать для поддержки?!

А что же Microsoft, спросите вы? Если посмотреть на эволюцию подхода к безопасности своих продуктов в этой компании, то из пресс-релизов можно узнать, что после нашумевшего slammer'а компания на полгода приостановила разработку следующего продукта - SQL Server 2005 - для полного анализа кода на безопасность и обучение своих разработчиков. Результат - 0 (ноль) критических заплаток для ошибок безопасности, в то время как Oracle выпустила их целых 70.

И вот уже Microsoft имеет аргументацию для бизнеса по конкуретным преимуществам своих систем относительно надежности, безопасности, стоимости владения относительно продуктов Oracle... А ведь прошло только пару лет...