MySQL 现状堪忧：代码提交停滞、123个CVE漏洞与性能倒退

今天在浏览技术资讯时，看到一则关于 MySQL 的讨论，其现状令人担忧：过去几个月官方仓库的代码提交数趋近于零，同时在过去一年曝出了多达 123 个 CVE 安全漏洞。种种迹象表明，这个曾经的明星数据库似乎正在走向下坡路。

一直以来，MySQL 和 PostgreSQL 在国内外的流行度呈现有趣的差异。国内开发者更偏爱 MySQL，而 PostgreSQL 则在国外更受青睐，这种差异有些类似于 MyBatis 与 Hibernate 在国内外的境遇。

不过，如今国内数据库的选择早已多元化，信创生态也在蓬勃发展。加之 MySQL 近年来的一系列操作——包括裁员、漏洞频发、新功能进展缓慢、重心转向商业客户等——导致越来越多的国内开发者开始重新评估他们的技术栈选择。

从上图可以清晰看到，MySQL 官方仓库在 GitHub 上的代码提交活动在过去一年中急剧下降，最近几个月更是接近于零。这不禁让人疑惑，到了 2026 年，我们还能放心地继续使用 MySQL 吗？

MySQL 的“开源”早已名存实亡

这里有一个很大的认知反差。很多人仍将 MySQL 视为开源数据库，毕竟它采用 GPL v2 许可证。但现实情况是，MySQL 只在许可证上是开源的，在开发流程、社区协作和透明度上，早已背离了开源精神。

自 Oracle 在 2009 年收购 Sun（连带 MySQL）以来，MySQL 的开发就逐渐转入了“黑箱”模式：

• 所有核心开发都在内部闭门进行；
• GitHub 上的 https://github.com/mysql/mysql-server 仓库提交量在 2025 年断崖式下滑；
• 外部贡献者的 PR 几乎石沉大海，即使被采纳，代码作者也不会出现在 Git 提交记录中，仅在博客里被轻描淡写地提及；
• 官方公开的 Bug Tracker 并非真实使用的系统，社区反馈形同虚设。

相比之下，MariaDB 作为 MySQL 原作者 Michael Widenius 创建的分支，始终坚持真正的开源模式：所有开发在 GitHub 实时公开，Bug 在 Jira 上透明讨论，任何人都能参与代码审查和提交——这才是我们期待的开源项目应有的样子。要知道，Oracle 在收购 MySQL 之时，曾向欧洲监管机构承诺不会闭源或放弃它，但现状似乎已背离初衷。

技术停滞 + 性能倒退

从技术层面分析，MySQL 自 2022 年起明显呈现出走下坡路的趋势：

• 8.0.29 版本默认启用 in-place ALTER TABLE，却因大量未处理的边界情况导致数据损坏甚至崩溃，直到一年后的 8.0.32 才基本修复；
• Oracle 将 8.0 系列标为“常青版”，却在小版本中引入破坏性变更，违背了用户对维护版本只修 Bug 不改功能的合理预期；
• 整整六年没有真正意义上的大版本更新：8.0 发布于 2018 年，8.1 只是 2023 年的预览版，而 2024 年发布的 8.4 LTS 被广泛批评“几乎没有任何新功能”；
• 更令人担忧的是，新版本性能反而下降。知名 MySQL 性能专家 Mark Callaghan 的基准测试显示，在写密集型负载下，MySQL 9.5 的吞吐量比 8.0 低了约 15%。

说多了都是泪，毕竟曾经对它都是真爱。与此同时，Oracle 正将资源全力倾斜到其闭源产品 Heatwave（一个云专属的分析引擎），并将向量搜索等前沿功能仅限于该服务。这释放出一个明确信号：Oracle 已无意大力投资开源版 MySQL，更多是将其作为引流工具，引导用户付费上云。

123 个 CVE 与安全黑箱

安全风险是另一个严峻问题。仅 2025 年，MySQL 就披露了 123 个 CVE 安全漏洞。作为对比，MariaDB 在同年仅有 8 个 CVE。更关键的问题在于，MySQL 的 CVE 描述极其模糊。例如 CVE-2025-53067 仅写道：

高权限攻击者可通过网络利用此漏洞攻陷 MySQL Server。

没有漏洞细节、没有修复代码、没有验证方式。用户只能选择“相信 Oracle”。这种“Trust us, bro”的态度，与开源社区倡导的“可审计、可验证”原则背道而驰。在数据库这一核心基础设施上，不透明即意味着高风险。一旦出现安全事件，企业可能面临数据泄露、业务中断甚至法律追责。

迁移之路并不遥远

好消息是，对于大多数应用而言，迁移到其他兼容的数据库方案并不像想象中那么困难。

• 迁移到 MariaDB 对大多数应用来说几乎是无缝的。此外，国产的一些信创数据库，如 OceanBase、PolarDB 等，也都支持从 MySQL 进行平滑迁移。
• 据最新统计，全球 57% 的 WordPress 站点已运行在 MariaDB 上，远超 MySQL 的 42%。维基百科、Debian、Fedora 等重量级项目也早已完成切换。
• 当然，如果你追求更强大的功能（如 JSON、GIS、高级事务控制），PostgreSQL 也是一个优秀的选择；若需原生分布式能力，则可考虑 TiDB。但对于绝大多数关注兼容性、性能与开源纯粹性的应用而言，MariaDB 是目前一个非常稳妥的替代方案。关于数据库选型与迁移的更多深度讨论，可以在云栈社区的数据库技术板块找到。

结语

Oracle 正通过“功能阉割、闭源诱导、服务捆绑”的策略，让 MySQL 用户陷入“付更多钱，得到更少功能和更多不确定性”的困境。这不再是一个可持续的技术选型，而更像是一种被动的商业绑定。

真正的开源，不仅是免费使用，更是自由参与、透明协作与社区共治。进入 2026 年，结合 GitHub 提交趋势图、DB-Engines 排名曲线以及性能对比测试来看，MySQL 的前景确实充满了挑战。或许，会有更多的开发者和企业开始认真考虑他们的“逃生路线”。