kavin

有多少DBA给数据库打安全补丁?

kavin 安全防护 2023-01-17 384浏览 0

最近,中国最大的数据库技术社区发起了一项有趣的调查,“有多少DBA会给数据库打补丁?”,调查结果令人担忧,同时也折射出Oracle数据库“安全补丁”本身的危害。

有多少DBA给数据库打安全补丁?

  调查显示,从来不打补丁的用户高达35.71%,偶尔打一次补丁的用户为57.14%,这2项的数据加起来已经超过90%,根据Oracle补丁发布周期,每季度打一次补丁的用户占7.14%。

  整个调查情况和国外DBA的情形比较相似,大部分DBA都疏于数据库的补丁的更新,对此可能引发的安全问题认识不足。

  据了解,以下2种情况可能会促使用户及时安装补丁,一是Oracle官方发布级别较高、比较严重的安全警告;二是数据库运行已经受到未及时安装补丁的影响,否则,一般的补丁更新信息吸引不了DBA的注意。

  网友flybuffer在讨论贴中说道,如果是内网数据库,一般不随便打补丁,除非确实发现系统漏洞已经影响了数据库的运行,反正我们单位的数据库从来没打过补丁

  另外,Oracle补丁本身对生产数据库存在安全威胁也是DBA不愿更新补丁的重要因素,参与调查的一位DBA 告诉记者,“以前有一次打了补丁,把开发库弄的有点小问题,很不爽,还好只是开发库。所以,我一般只是在数据库安装以前,我会打上所有的补丁。一旦投入开发或者生产运营,就很少再动了。”

  据了解,大部分DBA都无法承担更新补丁后的繁重测试工作,严格来说,数据库安装补丁后,要经过周密的测试才能上线运营,即便如此,某个产生的潜在问题也有可能不能及时发现,从而对生产数据库产生较大影响。凡此种种,这些问题所带来的时间成本,风险成本对DBA来说都显得太大。

  Oracle的安全补丁的获取

  事实上,还有庞大的一群人,他们不打补丁是因为无法正常获取这些数据库BUG修复软件。要知道,用户必须有Metalink账号才能下载安全补丁,如果你没有购买昂贵的服务,你根本无法获取这些更新。

  这是一个奇怪的逻辑,你花钱买了一个有缺陷的产品,如果厂商修补了这个缺陷,你需要再去花钱购买修复缺陷的方法。

  据了解,根据你的许可协议和Oracle支持级别,你每年可能需要向Oracle支付上万美元的技术支持费用,许多经理都误解了Oracle技术支持的范围,Oracle技术支持究竟包括什么,不包括什么,很多人还没有弄清楚。

  Oracle提供了不同范围的支持,从现场Oracle支持(金牌支持)到稍微差一点的银牌支持,再到铜牌支持,“金、银、铜”级别的支持都属于“金属”级别支持,都是需要访问Oracle MetaLink的。

  MetaLink提供的支持包括三个领域:

  基本的诊断:帮助解释错误代码和转储文件。

  Bug解决:Oracle软件工程师一起帮助修复Bug。

  补救措施:协助定位工作区或打上未知问题的补丁。

  这个“支持”不包括其它的支持服务,如打补丁、定制软件或手把手教初级DBA,当然Oracle也不提供远程咨询服务,如果你需要他们的远程咨询服务费用每小时不低于500美元,有些专家认为Oracle是故意提高咨询服务的报价,这样可以避免有些客户过分依赖Oracle技术支持,而不雇佣自己的全职 DBA。

  更要命的是,许多购买了技术支持服务的客户,对Oracle技术支持并不满意,Oracle技术支持的价值早已经在国内外广受质疑。因此大量的企业都丢掉了Oracle厂家技术支持服务,更倾向于寻找专家技术支持,但是,当你终止Oracle支持时,就失去了获得补丁和升级的权利,一个怪圈就这样产生了。

  不知是否有人统计过,全球企业因其Oracle数据库没有按时更新补丁所带来的损失究竟有多少?而这些情况,是否能够引起Oracle服务部门的深思?

责任编辑:王文文

继续浏览有关 安全 的文章
发表评论