2008年上半期 デスクトップ OS ベンダー レポート ～脆弱性と DoR ～

小野寺です。

少し前になりますが、Jeff Jonesが、主な4つのデスクトップOSを調査して、脆弱性の対応状況等をレポートとして公表していました。
脆弱性に対する考え方の一つとして面白いため、翻訳版を作ってみました。冒頭部分を以下に抜粋します。

----
このレポートでは 2008年上半期にApple、Microsoft、Red HatおよびUbuntuが対応した全脆弱性について考察しており、Days of Risk (DoR) 、一般的にインストールされているデスクトップのオペレーティング システムのコンポーネントに影響する問題について、詳細に検証しています。

2008 年上半期の主要な調査結果:

• 2008 年上半期、ベンダー企業 4 社は、総数 585 件の脆弱性に対応しました。
  影響を受けた複数のベンダー企業 26.8% のうち、同日に修正されたのは 8 件のみでした。残りについては、最初に公開された利用可能な修正プログラムと最後に公開された修正プログラムとの間に平均 35 日間の遅れ (差) がありました。
• マイクロソフトは、全脆弱性について Days of Risk （脆弱性が一般に公開されてからベンダーの対策が利用可能になるまでの時間）の平均日数が最も低く、24.22 日間でした。次点のベンダー企業では 72 日間でした。
• デスクトップ OS の脆弱性では、2008 年上半期、Windows Vista の脆弱性が最も少なく 21 件でした。次に低い数字は Windows XP SP2 の 26 件です。 Windows Vistaの利用者にとって、2008年上半期でWindows XP SP2に影響を与えた26件の脆弱性うち、その46%で、完全な、または部分的な緩和策が存在しました。しかし、1件の脆弱性が新規コード部分に発見されました。

これらのベンダー企業および製品の測定に加え、本レポートではより低い深刻度のためにあまり問題にされない場合について、深刻度の程度を調整した分析を行っています。詳しくは、レポートをご覧ください。

XPS 版:
http://download.microsoft.com/download/E/0/2/E02A3C08-547F-477E-BE9B-205BFF86A1BC/1H08-desktop-vuln-report.xps

PDF版:
http://download.microsoft.com/download/E/0/2/E02A3C08-547F-477E-BE9B-205BFF86A1BC/1H08-desktop-vuln-report.pdf