Bu yazının önceki bölümü için Araştırma: MySQL’in Hataları Daha Az-1 başlığı altına bakınız.
Hallem, “Koda giden bütün yolları keşfediyoruz,” dedi ve ekledi “Böylece aslında bütün üretim ortamlarına ve herhangi bir üretim ortamına aynı anda bakmış oluyoruz. Ve bütün yollara baktığımız için, üretim ortamı kendini kodun içinde değişik yollar veya davranışlar şeklinde ifade edebiliyor. Bütün muhtemel davranışlara bakmaya çalışıyoruz, böylece aslında bütün üretim ortamlarını analiz etmiş oluyoruz.”
Bu söylenenler geçen hafta MySQL’in Windows versiyonlarına yapılan saldırılar ile doğrulanmış oluyor. Bazı ortamlar diğerlerine göre saldırılara karşı daha hassas.
Hallem, “MySQL’deki ve diğer bir çok açık kodlu ürünlerdeki bir güvenlik zaaflarının etkileri Windows üzerinde daha büyük tahribata neden oluyor, çünkü Windows’ta diğer işletim sistemlerinde olan türden koruma sistemleri bulunmuyor,” dedi ve devam etti “Bunlara ek olarak sistem yöneticisine çok güveniyorsunuz. Bir MySQL sistem yöneticisi her zaman bir hata yapabilir ve Linux üzerindeki bir MySQL uygulamasına aşırı izinler verebilir. Bu şekilde Linux üzerinde işler çok daha güvenli.”
Coverity’nin çalışması 97 adet kusur bulmuş olsa da bu, bir hackerın saklanan veriye erişmek veya MySQL sunucusuna saldırmak için bu sayıda fırsatı eline geçirdiği anlamına gelmiyor.
Hallem, “Bu şu demektir ki, bu hataların arasında dışarıdakilerin etkisiyle gerçekten kötü sonuçlara yol açabilecek bazı zaaflar mevcut. Bunlardan bir çoğu hafıza aşımı halleri veya ayarlama konuları ile tetiklenebilir, bunların dışında birçok değişik olanak da var. Bunlardan birkaç tane ve özellikle bizim teyit ettiğimiz bir tanesi dışarıdan bir müdahale ile tetiklenebilir nitelikteki hatalardandı ve bu hata MySQL tarafından çok hızlı bir şekilde onarıldı.” dedi.
Aslında Coverity’ye göre bulunan çoğu hata çok önemli sayılmaz, yine de MySQL bütün gerekli onarımları tamamladı. Ama tabii ki bu, MySQL’in %100 hatasız olduğu anlamına gelmiyor.
Hallem, “Bunun anlamı şudur ki, bizim araçlarımızın fark edebileceği bütün hatalar düzeltildi ve bu şüphesiz kodun kalitesini yükseltti. Kodun içinde bizim aletlerimizin bulabildikleri dışında herhangi bir hata olup olmadığına dair bir garanti veya açıklama yapamayız. Bizim araçlarımız belli türdeki hataları bulmakta çok başarılı, ama her şeyi de bulmamız mümkün değil.”
MySQL pazarlama başkan yardımcısı Zack Urlocker’e göre, sonuçlar MySQL’in aynı kategorideki ticari yazılımların sadece bir çeyreği kadar hatalı olduğunu ortaya çıkarttı. Urlocker aynı zamanda, geçen sene yapılan benzer bir çalışmadan da buna yakın bir sonuç çıktığını hatırlattı. Bu sonuca göre de MySQL’in, aynı kategorideki gizli kodlu yazılımlara göre 1/6 oranında noksanlığa sahip olduğu ortaya çıkmıştı.
Urlocker, bu karşılaştırmaların yapıldığı ticari yazılım sağlayıcılarının hata oranlarını kamuoyuna duyurmadığını, bu nedenle de açık ve gizli kodlu ürünler arasında bire bir karşılaştırmaların yapılamadığını söyledi.
Urlocker internetnews.com’a yaptığı açıklamasında, “Kodunuzu derleyip kimseye göstermek zorunda değilseniz bu, kodunuzu rakiplerinize ve tüm dünyaya göstermenizden çok farklı sonuçlar doğurur. Bu şekilde herkes ne yapmış olduğunuzu görebilir.” Dedi ve ekledi “Açık kodlu yazılım dünyasında bu şekilde, aynı kategorideki ürünler arasında yapılan karşılaştırmalar, açık kodlu yazılımların standartlarının çok yükselmesini sağlamıştır.” dedi.