Уязвимости продуктов на 1 августа 2008
Вот и настал последний месяц лета. Хочу поделиться очередной выборкой по уязвимостям продуктов различных производителей. Выборка сделана мной по состоянию на сегодня, 1 августа 2008. Каждый из вас может сделать это сам, просто зайдя на сайт secunia.com, и покопавшись там в море информации по уязвимостям различных продуктов, включая подробное описание каждой уязвимости.
Я довольно давно уже привожу такую статистику по основным игрокам в группах продуктов серверных операционных систем, клиентских ОС, баз данных, межсетевых экранов. В этот раз я добавил еще группу портальных решений. Конечно, список в каждой группе можно значительно расширить, но я считаю, что для удобства вся информация просто должна поместиться на одном слайде.
Как видно из приведенной статистики, продукты Open Source продолжают удерживать сомнительное лидерство по количеству обнаруженных в них уязвимостей. Кстати, хочу обратить ваше внимание на то, что для получения полного числа уязвимостей какого-либо продукта Open Source к числу уязвимостей этого продукта надо прибавить уязвимости ядра. Это просто связано с методологией подсчета уязвимостей. Так как ядро производителем дистрибутива может быть выбрано разное, то уязвимости ядер и уязвимости самих продуктов считаются отдельно. Конечно, это надо делать только для операционных систем, ведь только в операционых системах используется ядро (Kernel).
Возможные причины этой печальной для Open Source статистики раскрываются в недавно опубликованном отчете компании Fortify. В нем, в частности, говорится о слабом процессе управления разработкой продуктов Open Source, что, по их мнению, является угрозой для применения этих продуктов для бизнеса. Каждый из вас может бесплатно получить этот отчет "Open Source Security Study" (на английском языке) по ссылке http://www.fortify.com/l/oss/oss_report.html.
Успехов!
