I primi 6 mesi di Windows Vista: quando i numeri parlano da soli


Se avete letto il mio precedente post, quando il mio collega Jeff Jones ha pubblicato il report simile sui primi 90 giorni di Windows Vista, sapete già come la penso sulle statistiche di confronto delle vulnerabilità tra i diversi sistemi operativi. Ma i risultati che emergono da questo nuovo report, stilato a 6 mesi esatti dalla disponibilità di Windows Vista, meritano la giusta attenzione. Come potete notare dalla prima delle quattro tabelle presenti nel report i numeri parlano davvero da soli:


 



 


Per coloro che amano Microsoft alla follia … forse la tabella sembrerà poco leggibile, sfuocata e confusa … :-), e quindi mi permetto di leggerla nei suoi tratti essenziali: la tabella riportata confronta le vulnerabilità critiche note pubblicamente, distinte in vulnerabilità corrette e non ancora corrette, tra i sistemi operativi Windows Vista, Windows XP, Red Hat Enterprise Linux, Novell SUSE Linux Enterprise Desktop e Mac OS X 10.4 (Tiger), e mostra in modo evidente che Windows Vista è decisamente messo molto meglio sia del suo predecessore, che dei sistemi operativi concorrenti. Mi preme farvi notare il miglioramento dell’analisi in questa versione: la dicitura “reduced” sta ad indicare che per questi sistemi operativi sono stati considerati solo i componenti presenti by-default ed esclusi quelli che non hanno una controparte sui sistemi operativi Windows, in modo da poter operare un confronto più equo. Le altre tabelle che trovate nel report hanno viste che includono anche le vulnerabilità non critiche e anche le build non ridotte secondo questi criteri, ma il trend non cambia!


Cosa dicono questi numeri ? Che il processo del Security Development Lifecycle (SDL), di cui vi ho detto in questo post, sta funzionando egregiamente, e merita di essere considerato come un ottimo riferimento (come già riconosciuto da diversi analisti super-partes) per tutti coloro che intendono migliorare il processo di sviluppo di codice, e far sì che sia sempre più sicuro. Certo la strada non finisce qui, ma l’importante è aggiungere progressi su progressi, e questi numeri credo lo dimostrino in modo chiaro.

Comments (40)

  1. Anonymous says:

    Il nostro collega Feliciano Intini nel suo blog riporta un’interessante analisi di confronto delle vulnerabilità

  2. Anonymous says:

    Il nostro collega Feliciano Intini nel suo blog riporta un’interessante analisi di confronto delle vulnerabilità

  3. wisher says:

    Veramente ottimi risultati, speriamo che siano confermati anche in futuro.

  4. Anonymous says:

    Segnalo l’articolo di Feliciano Intini che riprende un’analisi sulle vulnerabilità di Vista a 6 mesi

  5. sirus says:

    Un lavoro fantastico. Windows Vista è definitivamente il miglior sistema operativo che Microsoft abbia mai rilasciato!

  6. tizio says:

    sbaglio o siete un po’ di parte??? io non mi fido di un test fatto dalla ms, e nemmeno di uno fatto da un suo amante!

    su ubuntu non ho mai avuto virus da quando l’ho installato, microstronz l’ho formattato 6 volte negli ultimi 7 mesi… fate voi… e su ubuntu FACCIO LE STESSE IDENTICHE COSE CHE FACCIO SU WINZOZZ

  7. wisher says:

    @tizio:

    Che versione di Windows usi? Cosa intendi per "le stesse identiche cose"?

  8. utente says:

    ancora liunx è almeno x adesso esente da virus ok

    vi siete chiesti perchè?

    dicono che sia migliore di windows ma non è magari che visto che come diffusione linux con tutte le sue distribuzioni (oltre 30) non raggiunge lo 0.7 dei sistemi operativi mondiali?

    che interesse c’è a creare un virus x poche decine di migliaia centinaia di migliaia di unità?

  9. FabioNET says:

    Il test di cui sopra è generico!!!

    Non c’è la statistica per NetBSD intanto.

    Io però vi do un consiglio. Ognuno è libero di usare il sistema operativo che crede e quindi non esiste un sistema operativo immune nemmeno linux lo è.

    Posso solo dirvi che al momento la convenienza sta nel prezzo che è sempre e rimane troppo alto per i prodotti microsoft non proprio alla portata di tutti anche se da alcune parti viene rilasciato anche aggratis ma per la versione home basic :), oltretutto si può incappare in pc con sopra windows vista ed avere anche il chip si sicurezza TPM grazie al quale le informazioni sono un po più protette per la crittografia del buffer di sistema e controllati da un’attestazione remota obbligatori, ma mai sempre al massimo, non esiste.

    GNU/Linux è libero è distribuibile e quindi sostenuto da una comunità mondiale di programmatori volontari, il cui software viene costantemente aggiornato molto più in fretta di Microsoft "fortunatamente". Di bug li troviamo in tutti i sistemi operativi mondiali ma ce ne saranno sempre.  

    Passare a linux ha i suoi vantaggi rispetto al nuovo sistema operativo Vista ed ha i suoi pregi e i suoi difetti :), che comunque fa risparmiare ingenti somme notevoli alle tasche degli italiani.

    Direi a questo punto, un computer sicuro è un computer spento :). Sta  a voi la scelta "spendere dai 200 euri  e 500 euro " per una versione di windows vista a "0 euro" per una serie di varianti di sistemi GNU/Linux pronti all’uso e decisamente uno più sicuro dell’altro come un buon NETBSD. :)

    Se ho torto quotatemi.

  10. Pr3d says:

    Uso Vista ma quella statistica non ha senso.

    Nell’elenco delle vulnerabilità di Ubuntu sono compresi una miriade di programmi di terze parti, per esempio Firefox e OpenOffice, in quelle di Vista non sono compresi i bug, per esempio, di Office e Ie7… non mi pare una comparazione corretta.

  11. Pr3d says:

    Scusate ho detto una minchiata, in quella classifica sono esclusi i bug di programmi di terze parti.

    Non avevo letto l’articolo, ho toppato perchè avevo visto un grafico simile ma includeva i bug di terze parti.

    Scusate. 😀

  12. Pr3d says:

    Aridaje, oggi non è giornata.

    Leggo questo:

    sono stati considerati solo i componenti presenti by-default ed esclusi quelli che non hanno una controparte sui sistemi operativi Windows

    Questo significa che per linux è stato considerato OpenOffice e Firefox visto che sono di default e hanno una controparte Windows, però per Windows non è stato preso in considerazione IE7 tanto per fare un esempio…

  13. Paperino says:

    @Pr3d

    Le vulnerabilità di IE sono incluse nel report. Vedi data quelle a data: 5/8/2007

    Che ce ne siano poche è un altro paio di maniche [:-)]

  14. Luca says:

    Personalmente ho valutato che il fattore "costo 0" di Linux si applica molto bene ad un contesto home ma quando si comincia a parlare di TCO per le aziende le cose cambiano.

    In un contesto aziendale il costo d’acquisto assume spesso un valore marginale per i sistemi operativi (non è lo stesso per Office) visto che altri costi indotti dalla scelta dell’SO son ben più pesanti da sostenere.

    Nella mia azienda più volte molti dirigenti hanno tentato la via di Linux ma sono sempre tornati su Ms; motivo? il TCO di Linux era decisamente più elevato rispetto a Windows nella nostra realtà.

    Non credo esista un sistema migliore ma solo più adatto a questa o quella realtà.

  15. Romano Scuri says:

    Ecco cosa scrivevo il 4 maggio (e non ho cambiato opinione).

    Windows Vista – l’antipatia continua

    Sto utilizzando il nuovo pupillo di Microsoft da circa un mese e l’impressione peggiora ogni giorno che passa.

    Il motivo? E’ presto detto. Nel compiere il lavoro di sempre rilevo sorprendenti cali di produttività rispetto a quando lavoravo con Windows XP(Sono programmatore n.d.r).

    E poi ogni tanto incappo in errori di funzionamento che la dicono lunga sulla qualità di questo prodotto. N.B. Usando componenti di Windows Vista e non programmi potenzialmente incompatibili.

    Che sia solo una mia impressione?

    Vi racconto l’ultima.

    Fate in explorer un taglia incolla di una cartella da una posizione in un’altra dove in realtà quella cartella esiste già. Orbene tutto il contenuto della cartella viene tagliato e spostato, ma la cartella contenitore sorgente viene lasciata e poi vi tocca eliminarla a mano. Riproducibile sempre e con facilità.

    Sarei tentato di fare come mio figlio che ha piallato Windows Vista ed è tornato ad XP…

  16. Flavio says:

    Ma come si può fare un report del genere: mettere a confronto un sistema operativo appena nato (6 mesi di vita) con altri di + lunga storia.

    Anzi: iniziamo a considerare i bug che su Vista sono stati corretti ad Agosto 2006 e non da Gennaio. Non so, ma forse potrebbero essere più alti!!

    Proviamo a fare la stessa prova tra un paio d’anni, quando gli utenti utilizzatori di Vista saranno aumentati in modo considerevole e le aziende specializzate nella ricerca di bug avranno finalmente trovato quasi tutto.

    In fin dei conti anche XP dopo 6 mesi era perfetto: dopo ha iniziato a spegnersi da solo quando era collegato in internet!!!

    Per linux manca solo 1 cosa: la voglia dei programmatori di sviluppare seriamente software. Sono convintissimo che se ci fosse un software gestionale serio che gira su linux in poco tempo la gente passerebbe.

    Saluti a tutti

  17. ah ah says:

    mancano i riferimenti temporali, fonti e criteri.

    Ottimo bidet: e’ gratis?

  18. Scuri Romano says:

    Una precisazione.

    Non sono così critico verso Vista perché fan di qualche altro OS. Attualmente uso solo Vista. Il mio grado di soddisfazione però era maggiore con XP anche se ultimamente quando lo riaccendo mi capita di verificare quanto diceva Flavio: "In fin dei conti anche XP dopo 6 mesi era perfetto: dopo ha iniziato a spegnersi da solo quando era collegato in internet!!!"

    Le innovazioni di Microsoft? Tutte cose già viste da altre parti. Sono solo bravi a far diventare di massa un prodotto che non lo era.

    Non sbavo per l’open source.

    Ho dovuto installare al posto di Windows mail Mozilla Thunderbird per avere la possibilità di fare copia-incolla con le immagini, ma credetemi i bug c’erano eccome! Perdita di mails nel drag&drop corretti solo nella 2.0.0.4 e sopravvivevano dalla 1.5.

    Si può avere qualcosa di meglio, ma non sarà Linux a darcelo e forse non lo avremo mai finché il computer non sarà completamente ripensato. Ma questa è un’altra storia…

  19. Micky says:

    Beh, Visto che in Vista software di uso quotidiano per le aziende tendono ancora a NON girare, credo che non ci sia una cosi’ grossa diffusione da poter fare paragone.

    Confronto con sistemi *nix ? Paragoniamolo a Debian stable (attualmente la etch uscita a Pasqua). Vediamo le differenze sui bug fixati e non ?

    Ovvio che questo grafico e’ stato ricavato da dati ‘comodi’ a chi doveva disegnarlo.

    Domanda: essendo un Virus o Malware un software che sfrutta  problema di programmazione (chiamato comunemente bug) di un sistema operativo, perche’ Microsoft stessa invece di correggere i bugs rilascia un software AntiVirus ? Cioe’, se loro lavorassero per correggere i problemi in modo celere, non esisterebbero ‘virus’ in giro. E’ solo un sistema commerciale di vendere Software Antivirus o di spendere meno nella correzzione dei bugs ?

  20. grosso.riccardo@gmail.com says:

    Bel blog, compimenti.

    Effettivamente Vista sta andando meglio del previsto e merita attenzione quando si parla di infrastrutture "sicure".

    Nondimeno i concorrenti citati sono reali, a livello desktop.

    Una nota va però fatta: se guardiamo un grafico che confronta i tempi di risoluzione delle vulnerabilità non troviamo Vista al primo posto e neppure i sistemi di casa Apple, troviamo i sistemi Gnu/Linux. Questo è molto importante, perchè riduce drasticamente la possibilità di creare Exploit funzionanti.

    Mi auguro che la sicurezza dei sistemi Microsoft aumenti come ha sempre fatto e che le vicende relative allo sviluppo del kernel prendano una piega migliore (attualmente solo un vendor con molti fondi può garantire un sistema stabile e pulito).

  21. paperino says:

    @ah ah:

    nel PDF linkato ci sono tutte le informazioni che stai cercando.

    @Romano:

    il paragone è stato fatto con tutti i sistemi operativi a sei mesi dal rilascio. XP forse non centra molto con questo grafico in quanto rilasciato molto tempo prima che l’ADSL, e un certo tipo di malware, cominciasse a diffondersi facendo nascere l’iniziativa TwC. Tutti gli altri OS nel raffronto sono successivi all’ADSL di massa.

    @Micky:

    Ci sono 200 e passa distribuzioni di Linux. Ha senso testarle tutte o è più indicativo scegliere un paio di "distro" commerciali?

    I virus non centrano assolutamente con la sicurezza di un SO: forse ti confondi con altro tipo di malware che non richiede interventi dell’utente. I virus comuni purtroppo devono la loro pericolosità agli utenti inesperti (quelli che aprono tutti gli allegati che arrivano).

  22. Anonymous says:

    Delle "17 perle" di cui vi ho appena detto, quella che ha suscitato maggiori domande di approfondimento nei 3 eventi in cui ho avuto modo di parlarne è stata appunto la 15a: Sei sicuro della sicurezza del TUO codice ? Il concetto di fondo che ho espresso

  23. Sergio says:

    Leggo l’interessante articolo e, utilizzando spesso Ubuntu 6.06 su un portatile e Ubuntu 7.04 su un desktop,

    sono andato a vedere cosa ne pensa Secunia.

    url http://secunia.com/product/10611/?task=advisories

    riguardo Ubuntu 6.06

    e url http://secunia.com/product/14068/?task=advisories

    riguardo Ubuntu 7.04

    La situazione mi sembra ottima ora come lo era dopo sei mesi dall’uscita della release 6.06 LTS

  24. antonino inveninato says:

    ho comprato un coputer hp con window vista software originale al 100%,

    perche con windows update non riesco ad avere gli aggironamenti?

  25. Feliciano Intini says:

    @Antonino: avrei bisogno di molte più informazioni per poterti aiutare, e temo che il blog non sia il metodo più comodo per farlo: ti consiglierei di consultare la pagina http://support.microsoft.com/?ln=IT per individuare il modo per te migliore per chiedere assistenza.

  26. BOY says:

    MA VISTA FA SKIFO DA TANTI,TROPPI ERORRI!!MEGLIO IL MAC, E SE LO SAI USARE LINUX!!

  27. alien says:

    per dire la verita a me nn mi piace molto windows vista….xche per mettere windows vista devi avere almeno 2gb di ram,xche con 1gb utilizo anche se nn fai niente è 80% anche se la microsoft è stata brava con il nuovo sistema operativa….io preferisco usare linux,certo è um puo più difficile da usare, ma quando ti impari ad usarlo per bene puoi fare tente cose molto interesante….unaltra cosa a me mi sta antipatica microsoft,xche la microfroft ha leteralmente schiaciato altri sistemi operativi…..nn pensa più di noi utenti ma pensano più a se stessi…nn danno + la liberta ad un utente a decidere che sistema scegliere….tutto somato ogni utente sceglierà un sistema a base le sue esigenze:d     .:linux4ever:.

  28. Zeroc00l says:

    Ehm, ma io sono arrivato a sto blog da un sito Microsoft, quello di Visual Studio, non è che è tutta una farsa tipo Get the Facts?

    Sarebbe davvero odioso rispondere ad un blog sponsorizzato, e sinceramente mi farebbe odiare triplamente Microsoft. Quel riquadretto fasullo lì sopra è davvero nauseante, io sono un utente Linux da oltre due anni e non ho mai avuto tutti quei problemi che Windows ha, faccio tutto quello che facevo con Windows e non ne sento proprio la mancanza.

    Ah poi sulla storia dei virus, perdonatemi ma ho letto delle boiate allucinanti, non è che non ci sono virus su linux solo perchè non è diffuso, è solo perchè è fatto bene, con Windows hai l’accesso come amministratore in 3 semplici passaggi, con Linux non è possibile a meno di essere un vero hacker e poi i server sui quali navigate, Google per primo, non sono Windows Vista Home basic extreme edition e robe del genere ma delle splendide macchinine Linux per la maggior parte. Continuate pure a leggere stupidate fasulle su Windows, per dirla alla Wachowski quello è Matrix.

  29. Anonymous says:

    Non vedevo l’ora di riaprire Windows Live Writer per darvi un segnale di vita… E’ la prima volta in

  30. Dev says:

    Uso VISTA da novembre 2006…. sono 11 mesi.

    L’ho installato sia nelle macchine di produzione ( faccio lo sviluppatore) sia nelle macchine BackOffice e portatili.

    Nelle macchine backoffice e portatili va alla grande (escludendo i primi mesi che alcuni driver non erano ancora  usciti). Devo dire la produttività è aumentata e le performance di alcune macchine è migliorata visibilmente. Benissimo nelle connessioni.

    Nelle macchine di produzione è praticamente un inferno , un continuo crash del VS2005. L’indice di affidabilità  di vista arriva a 2, con continui crash  su devenv,exe  (VS2005).

    Non mi lamento di VISTA ma di MS che poteva dire agli sviluppatori di aspettare…  Anziché incoraggiarli con una fantomatica SP1 x vista. Comunque, sono fiducioso e spero che con VS2008 si risolvano i problemi legati allo sviluppo e VISTA.

  31. Anonymous says:

    Sicurezza: i primi 6 mesi di Vista.

  32. Anonymous says:

    Chi mi legge da tempo probabilmente alla vista del titolo avrà avuto un deja-vu, e si sarà ricordato

  33. Ko says:

    Ah ho dimenticato di dire che di Ubuntu esce una release nuova ogni 6 mesi ( che potremmo paragonare ad un service pack )con aggiunte che aprono nuovi possibili problemi, mentre il service pack 3 di xp da quanto lo si aspetta? 😛

  34. Feliciano Intini says:

    Riporto il commento di Ko epurato solo di un paio di termini scurrili che ho sostituito con XXXXX: invito tutti coloro che desiderano postare ad evitare l’uso di tali volgarità in modo da non costringermi alla non pubblicazione. Il mio commento ai contenuti seguirà in altro momento:

    Dice il sig. Ko:

    "Ho l’impressione che la microsoft si sia gettata a capofitto su un sistema carroarmato, mettendo in secondo piano cose altrettanto importanti come la Compatibilità, l’Efficenza, le Prestazioni..

    Io ho la versione business sul fisso, che consuma 780 mega di ram base, con tutti i programmi chiusi ( incluso defender e sidebar )..

    guardando il workin’ set con Process XP ( considerato che il task manager non da dati reali ) si nota che

    più di 160 mega sono occupati ESCLUSIVAMENTE da explorer.exe. Segue DMW.exe con 112mega. E questo principalmente per Aero!

    Poi ci sono svchost a 107,

    iExplorer ( una finestra sola! ) a 101 ( CENTOUNO )

    e un altro svchost a 90.. ( E tralascio tutti quelli che vanno da 85 a 21 ! che saranno una quindicina.)

    Ora, sul portatile ho linux, Ubuntu 7.10.

    L’interfaccia grafica occupa 3 ( TRE ) mega di ram e permette di fare molte, e sottolineo molte, più XXXXX di quanto non faccia fare Aero. In totale a computer a riposo consumo 123 ( CENTOVENTITRE ) mega, quantità che a XP serviva sì e no .. Anzi, no. Era al limite.

    L’unica cosa che ho notato su Vista è stata un’accelerazione nell’accensione della macchina. Stop. Fine. Non posso usare programmi come Visual C 6.0 perchè non è supportato, e quindi ho dovuto ripiegare su Vs2008(la beta), non posso usare i tasti dedicati della mia tastiera, perchè non vengono rilasciati i driver, non mi viene più letto il microfono, si vede che era troppo vecchio.

    Praticamente siamo retrocessi a livello "compatibilità Linux", con la differenza che su linux, i driver, te li puoi scrivere.

    Per di più come è stato già detto, i programmatori di Linux sono AMATORIALI -> ergo non sarebbero obbligati a fare quello che fanno ( e che per altro lo fanno eccellentemente, andate a vedere i test sul nuovo kernel. ) invece i programmatori della Microsoft sono PAGATI per fornire un servizio, dalla microsoft, e di conseguenza da chi compera il sistema operativo.

    Io non penso che la nostra società preferita assuma gente a muzzo, quindi mi pare assurdo che programmatori Amatoriali riescano a xxxxxxxx quanto ad affidabilità, prestanza e tempi di risposta a gente che gli OS li fa per mestiere.

    Quello che si deve denotare in quel grafico è la quantità di bug CORRETTI su macchine linux e non semplicemente la quantità di bug TROVATI.

    Per il resto io spero Tanto nel Service pack 1 di vista, perchè al momento non è affatto la scelta migliore :)"

  35. Anonymous says:

    Dopo un po’ di attesa finalmente è stato rilasciato il famoso report del collega Jeff Jones che

  36. MAILA says:

    ho un computer con sistema operativo VISTA, PERCHE’ NON RIESCO A ENTRARE IN UNA CONFERENZA VOCALE? CON WINDOWS 2000 LO FACEVO BENISSIMO, MI APPARE UNA FINESTRA CON SCRITTO;NON SUPPORTA IL FORMATO DI COMPRESSIONE AUDIO RICHIESTA………… COSA VUOL DIRE? E COSA DOVREI FARE?

  37. Feliciano Intini says:

    @Maila: non prendertela se ti segnalo la pagina del supporto http://support.microsoft.com/ a cui far riferimento per trovare una risposta alle tue problematiche; mi piacerebbe poter impegnare del tempo per aiutarvi ma proprio non ce la faccio.

  38. Daniele Nasuti says:

    TAbella interessante, peccato solo che quando è stata stilata la tabella Ubuntu si trovava già alla versione 7.

  39. Feliciano Intini says:

    Ciao Daniele, condivisibile o meno, Jeff Jones riporta questa nota nel report PDF a pagina 7: "Note that this also explains why I am not analyzing Ubuntu 6.10, 7.04 or later. So far, Ubuntu has only committed to long term support for 6.06 and not later releases.".

  40. Ayaya says:

    peccato che non sappia neanche leggere l’inglese…