Red Hat: "Somos Mais Seguros Porque Corrigimos Mais Vulnerabilidades!"


Aqui na Microsoft nós acreditamos que é melhor produzir softwares sem vulnerabilidades do que ter que corrigi-las depois. Mas parece que estávamos enganados. Segundo a Red Hat, as empresas de software aberto fazem um melhor trabalho de segurança porque corrigem mais vulnerabilidades que a Microsoft!



Bug fix scorecard
by Ruth Suehle
The score is Linux: lots, Microsoft: zero


A Microsoft vulnerability report suggests that Microsoft wasn’t able to fix more Windows flaws than the number of open software flaws fixed by the major open source companies. Red Hat, having forty times less employees than Microsoft, did the best job, by fixing and closing the most security bugs, also closing even minor bugs - where Microsoft didn’t even fix one minor bug in the same period.


 


Usando a lógica redhatiana para outros produtos, o Microsoft SQL Server 2005 seria também o banco de dados menos seguro do mundo, afinal a Microsoft até hoje não conseguiu corrigir nenhuma vulnerabilidade.Talvez seja melhor pararmos com essa história de processo de desenvolvimento seguro! 🙂


 


Comments (9)
  1. Anonymous says:

    Quando você acha que já viu de tudo nesse mundo, sempre aparece algo para surpreender! A Red Hat, famosa

  2. fcima says:

    Oi Marco,

    Obrigado pelo comentário e pela visita de um colega de Portugal. No mês que vem se Deus quiser estarei de volta a Lisboa. 🙂

    Apenas talvez uma correção. A Microsoft também é quem tem menos vulnerabilidades críticas encontradas. Se você ver no gráfico acima, ou no original em http://blogs.technet.com/security/archive/2007/08/16/july-2007-operating-system-vulnerability-scorecard.aspx, a barra em vermelho se refere ao número de vulnerabilidades de alta criticidade encontradas. E ela é significativamente mais baixa nos sistemas Windows do que nos demais.

    Abracos, – Fernando

  3. Anonymous says:

    Michael Howard escreveu um post sensacional no blog do SDL que remete às estatísticas de vulnerabilidades

  4. fcima says:

    Oi Marcos,

    Acho que o caso aqui é de ignorância. O sujeito bateu o olho no gráfico, viu a barrinha do Red Hat 4WS mais alta que a do Vista, e pensou “Uau! Tivemos mais de 170 vulnerabilidades neste ano e o Vista apenas 20. Vamos botar no site!” …

  5. Marcos Ludwig says:

    A inversão de valores é algo incrível. Legal ainda foi ver os "evangelizadores" comemorando a maneira DESONESTA de interpretar os gráficos.

    Isso só prova uma coisa: não adianta utilizar a razão com quem abdica de usar ela. O que importa para eles é distorcer a realidade a todo custo. Coisa bem triste…

  6. Vinicius Canto [MVP] says:

    Olá pessoal,

    O problema, nesse caso, é mais de formação do que qualquer outra coisa. Temos duas explicações para o comportamento de quem escreveu o artigo original: ou foi realmente mal intencionado, com o intúito de fazer barulho somente, ou a pessoa não tem noção alguma sobre estatística.

    Qualquer pessoa em sã consciência sabe que comparar somente os dados não significa nada. É preciso considerar outros fatores como, por exemplo, o NÚMERO de bugs encontrados (como o próprio Fernando sugere nas entrelinhas). É estatística básica isso…

    Quanto ao Marcos, do comentário anterior, concordo em partes. A RH interpretou *parte* uma parte do gráfico. A primeira frase está correta:

    A Microsoft vulnerability report suggests that Microsoft wasn’t able to fix more Windows flaws than the number of open software flaws fixed by the major open source companies.

    Realmente a Microsoft não pôde corrigir, provavelmente porque tais bugs não chegaram a existir. O erro está na conclusão:

    Red Hat, having forty times less employees than Microsoft, did the best job, by fixing and closing the most security bugs, also closing even minor bugs – where Microsoft didn’t even fix one minor bug in the same period.

    Pra eles, isso é melhor… vai entender né?

    Abraço,

    Vinicius

  7. Marco Sousa says:

    Eu também estou até certo modo de acordo com a RedHat, é público, que a Microsoft (tipicamente) não resolve problemas que não são críticos/recomendados.

    Só com o SP1 é que estes estaram resolvidos, ou seja passado 6 meses.

    Agora, acho que o Linux tem mais bugs do que o Windows isso para mim é certo, existem mais camadas de interacção, construida por pessoas diferentes, e por filosofias diferentes, e estas não estão com uma preocupação tão grande  como a Microsoft (excepto no kernel).

    Como os programas em Linux que compõem o SO, são feitas por pessoas diferentes é normal que todas essas pessoas estejam sempre focadas no seu programa, e que encontrem mais bugs, ou optimizações, o que na Microsoft não me parece que aconteça na maior parte das vezes.

    Por exemplo um programador faz uma parte do código do Windows, e na maioria dos casos, depois de testada e re-restada, esse programador irá ser encarregue de outras coisas, ou doutra parte do código. No Linux isso não acontece visto ser feito por programas independentes, e essa pessoa(ou equipa) estará sempre com esse programa.

    Agora perante o Linux ter mais bugs, do que o Windows, apesar de não saber, acho que é a Microsoft que tem mais bugs críticos. E que qualquer bug no Windows é um problema maior, visto serem extremamente mais explorados e mais rapidamente do que no Linux.

  8. Marcos Ludwig says:

    Vinícius, sempre que vemos alguém informando algo que não condiz com a realidade, existem somente três possibilidades: má-fé, ignorância, ou estas duas coisas juntas.

    De qualquer forma, não importa se o argumento dele é objetivamente uma verdade — ele serviu apenas para concluir uma falácia.

    Ser honesto é saber lidar com a realidade como ela é. Está evidente a todos que o autor do post da Red Hat não fez isso. Portanto, ele foi, sim, desonesto — seja por ignorância, seja por má-fé, seja por estas duas coisas juntas. Reconhecendo isto como um fato, e não como uma opinião, não há o que "discordar", ou "concordar em partes".

    Saudações.

  9. Pinguim says:

    Caro Blogger: façamos o seguinte teste: divulgue o código fonte do Windows e aplicações Microsoft e vamos verificar se vocês são "mais seguros" porque não corrigem ou simplesmente porque desconhecem as vulnerabilidades existentes em seu código proprietário…

    Cada uma que me aparece…

    Pinguim.

Comments are closed.

Skip to main content