App Plat News

Jon Jahrens samling av viktige og uviktige nyheter og kommentarer om Microsoft applikasjonsplattform

SQL Server setter standarden for sikkerhet - ligger år foran Oracle og MySQL

SQL Server setter standarden for sikkerhet - ligger år foran Oracle og MySQL

  • Comments 1
  • Likes

ESG (Enteprise Strategy Group) har nylig publisert en rapport som sammenligner sikkerhetshull mellom kommersielle databaseprodukter fra Microsoft, Oracle, MySQL, Sybase og IBM. Grunnlaget for undersøkelsen er en kompilering av tre års statistikk over Common Vulnerabilities and Exposures (CVE) data fra National Vulnerability Database - altså fullstendig public data som alle har tilgang til.

Forskjellen mellom database plattformene er ganske store: Microsoft SQL Server har ingen CVEs i 2006. MySQL har fått litt juling med 14 CVEs i 2006, mens Oracle ligger på desidert versting-plass med hele 54 CVE oppføringer sålangt i 2006. Se grafen nederst for CVE statistikk i hele perioden 2003-2006.

ESG konkluderer med at "Microsoft's results are almost too good to believe, and thus serve as a model for other database vendors", og peker på en viktig årsak til at SQL Server ligger så langt fremme: Microsofts Security Development Lifecycle (SDL). SQL Server teamet i Redmond var de første til å standardisere på SDL prosessen, og investeringene i tid og ressurser som teamet gjorde med å bygge erfaring rundt SDL var en medvirkende årsak til at SQL Server 2005 ble såpass forsinket.

Først prinsipp i SDL er at sikkerhet i programvare først og fremst løses med kvalitet i prosesser og prosedyrer i utviklingsteamet. Fra Dag 1 i utviklingssyklusen har Microsoft sikkerhet som et målbart krav i arkitektur og designprosesser, og på den måten sikrer man at sikkerhet er innebakt i kjernekomponenter og ikke bare noe man bryr seg om i test/bugbash fasene i etterkant.

Neste viktige oppgave er å redusere eksponering mot mulige angrep - gjøre målet mindre. I SQL Server 2005 er alt slått av som default, og som standard shippes Microsoft produkter nå i sikre konfigurasjoner der kunden eksplisitt må åpne for ønskede features.

En annen viktig oppgave for SQL teamet er å "break the implementation before customers do". Utviklerne selv er påkrevd å gjøre en Threat Modeling prosess etterfulgt av Fuzz Tests - automatiserte angrep mot komponenter med random parametere for å oppdage mulige sårbarheter.

ESG vurderer Microsoft til å være "years ahead of Oracle and MySQL in producing secure and reliable database products". Det er naturligvis en kjempeattest å ta med seg - men vi må ikke glemme at sikkerhet i programvare er en industriell utfordring like mye som en oppgave hos Microsoft, og at det er vanskelig å gi noen garanti uansett hvilken databaseleverandør kunden velger. Ikke minst når man leser A Chronology of Data Breaches (siden 15.2.2005 har amerikanske selskap blitt pålagt å rapportere sikkerhetsbrudd som angår personvern), og leser hvor mange data som er havnet på avveie på grunn av stjålne biler, gjenglemte laptops, mistede kofferter...

CVE statistikk

Comments
  • Det er fredag - trafikken i Oslo står bomstille, snøen har endelig lagt seg (ihvertfall over natten)

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment