Новый взгляд на уязвимости - 21 ноября 2008
Возобновляю свои регулярные публикации уязвимостей в основных информационных продуктах. За 50 дней перерыва на сайте secunia.com, с которого я беру информацию, произошли интересные изменения. В лучшую сторону. Ранее вся статистика на сайте велась в так называемых advisories - некоторых пакетах уязвимостей, найденных исследователями. Смысл этих advisories состоял в том, что при обнаружении какой-либо уязвимости исследователь обнаруживает не всегда только одну уязвимость, но иногда больше. Например, в одной из advisores для Mac OS X было несколько десятков уязвимостей. Именно advisories, как правило, являются объектами патчей. То есть патчи закрывают некоторый набор уязвимостей, найденных исследователями. Подробное описание всех уязвимостей в каждом из advisories на сайте было всегда. Но общей статистики по ним не велось. Но в силу того, что в среднем во всех advisories было одинаковое количество уязвимостей, то сравнивая число advisories для продуктов можно было в какой-то степени осознать из взаимное качественное положение в отношении безопасности. При этом это "качественное" сравнение, естественно, базировалось на "количественном сравнении". Вообще говоря, это все было написано, правда несколько другими словами, на сайте secunia.com. Конечно, я мог сам методично брать и из advisories "выковыривать" уязвимости и проводить сравнение числа именно уязвимостей. Но доказывать, что я эту работу провожу корректно у меня не было ни малейшего желания. Потому что всегда существовал большой шанс того, что любой человек скажет - "Этим цифрам верить нельзя. Методология их появления неясна. Это должен быть независимый анализ".
И вот теперь на сайте произошли приятные изменения - добавилась новая цифра - общее число именно уязвимостей (vulnrerabilities) для каждого продукта. И эти цифры от независимого исследователя - от secunia.com.
Никаких масштабных перестановок в рейтинге безопасности продуктов не произошло. В списке продуктов появились несколько новых позиций. Я решил показать уязвимости Linux Ubuntu, которую многие апологеты Open Source часто приводят как чуть ли не самую безопасную операционную систему. Посмотрите на цифры - они говорят сами. Обратите внимание, я привел цифры по двум дистрибутивам Ubuntu - по 7.10 и по 8.04. Эти цифры означают, что первая из этих ОС вышла в октябре 2007 (7.10), а вторая в апреле 2008 (8.04). За эти короткие периоды жизни этих систем в них находят по 30 уязвимостей в месяц! И это при том, что Windows XP и Vista находят только по 3 уязвимости в месяц. Общее число уязвимостей в Ubuntu тоже бОльше Windows. Да и зачем выпускать новую ОС каждые пол-года, если число уязвимостей не уменьшается? Процесс разработки им надо улучшать, процесс разработки... Я об этом уже ранее говорил.
Привел статистику по ядру Linux - в нем сегодня более 280 уязвимостей. Это означает, что любой наш российский дистрибутив Linux (ALT Linux, МСВС от Минобороны, и другие) имеют не меньше этого числа уязвимостей. А значит проигрывают по числу уязвимостей Windows. А если принять во внимание то, что вряд ли разработчики этих систем пишут совсем без программистских ошибок, и то, что ошибки программистов Red Hat добавили в свой дистрибутив не менее 200 новых уязвимостей, то выигрыш Windows в безопасности еще выше.
Файл в приложении - пользуйтесь.
