Um Ano de Windows Vista

  • Article

Há pouco mais de um ano atrás o Windows Vista era lançado pela Microsoft, e o Jeff Jones aproveita para fazer um balanço das vulnerabilidades de segurança corrigidas neste primeiro ano do sistema. Os números são:

¦ 36 vulnerabilidades publicadas, corrigidas por

¦ 17 patches de segurança, divulgados em

¦ 9 dias de patch diferentes.

Destas 36 vulnerabilidades, 11 foram vulnerabilidades consideradas críticas, 14 vulnerabilidades importantes, 7  de severidade média e 4 de severidade baixa. É um número substancialmente menor do que as 65 vulnerabilidades descobertas no primeiro ano do Windows XP, 20 das quais críticas.

Incluindo ainda as vulnerabilidades divulgadas mas não corrigidas no primeiro ano de vida de cada sistema, a redução no número de vulnerabilidades fica evidente:

Vulnerabilidades no Primeiro Ano

O número de vulnerabilidades não representa necessariamente o quão seguro é um sistema operacional, mas é uma ótima indicação da preocupação com segurança durante o processo de desenvolvimento: um processo de desenvolvimento seguro visa justamente diminuir o número de vulnerabilidades - especialmente as críticas - no produto final.

Os números claro ainda poderiam ser melhores, e o ideal é que um dia eles chegassem a zero. Mas reduzir em quase 50% as vulnerabilidades em um sistema que tem quase o dobro de linhas de código é um testemunho de  o quanto o processo SDL evoluiu entre 2001 e 2007.

O relatório ainda se dá ao trabalho de comparar os números do Windows Vista com os de outros sistemas operacionais lançados há mais de um ano: Red Hat Enterprise Linux 4, Ubuntu LTS 6.06 "Dapper Drake", e Mac OS X 10.4 "Tiger". Para fazer uma comparação justa com as distribuições Linux, foram excluídas todas as vulnerabilidades referentes a pacotes que não tem similar no Windows Vista, como compiladores, ferramentas gráficas como o GIMP e pacotes de escritório como o OpenOffice. As vulnerabilidades destes pacotes não entraram na conta.

O gráfico abaixo mostra a comparação entre as vulnerabilidades encontradas no primeiro ano de lançamento de cada sistema:

Comparativo de Vulnerabilidades

Os números não devem surpreender mais ninguém a esta altura, e mostram antes de mais nada a enorme diferença que existe entre softwares que adotam princípios de desenvolvimento seguro, e softwares onde não existe nenhuma preocupação com segurança no desenvolvimento.

O relatório completo pode ser obtido aqui, em inglês. Os números de vulnerabilidades foram obtidos nos sítios dos próprios fabricantes.