MS vs СПО: Разность в скоростях обнаружения уязвимостей


 ??????? ???????? ?????????? ?????? http://open.cnews.ru/news/top/index.shtml?2012/02/01/475520 ? ???, ???, ??? ????? CNEWS  "??????????? ??????????? «??????? Windows», ??? ??? ??? ????????? ????????????". ?????? ? ??????? ?? ?? ???????, ??? ?????????? ??? ????? ????? ??????? ????????????? ???? ? ??????, ?? ???????, ??????, ????????. ?? ?? ????? ???????? ???? ???? ???? ?????? ?? ?????????? ???????????? ?????? ??? (??? ????????? ??? ?????? ??????????), ?, ??? ????? CNEWS ? ??????. ????????????? "? ???????? ????????? ???????????? ???????????? ??????? ?????? ???????????? Red Hat Enterprise Linux 5". ??? ???? ???????? ?????? ???????????, ??????? ?, ? ????? ??????????, ? ??????? ??? ? ??? ????? ??????????? ?? ????? ??? ?????.???? ????????, ??? ??? ?????? ?? ????? ?? ?????, ??? ?????? ? ???? ????? ?????????? ??????????? - ?????? ??? ?? ?????? ???? ?????? ??????? 🙂

????????? ??? ?? ??????? ? Red Hat Desktop Linux 5.? ?????????? 1801 ??????????. ?????? ?????? ????? ???????????? (5.0) ????? ? ????? 2007, ????????? (5.7) ? ???? 2011. ??? ????? ?????? ???????? ??????????? ??????????? ??? ?????? ??????? ?? ????? ??? ??? ?? ????? ????? ???????????? ???????????, ??? ???????? ??? ??? ????????. ??????? ??????? ??? ???????? ???????????? ????? ????? ????? ????????????. ????, ? ???????????? 5.? ?? 10+4*12+1=59 ??????? ?????????? 1801 ??????????, ???????? ??????????? ??????????? =30,5 ??????????? ? ?????

? ????????? ???????? Red Hat Desktop Linux 6, ????????? ? ???????? 2010, ?? 4+12+1= 17 ??????? ?????????? ?? ??????? 596 ???????????, ???????? ??????????? ??????????? 35,0 ??????????? ? ?????

Ubuntu Linux 8.04 - ?????? ????? ? ??? ? ???, ??? ???????????? Ubuntu ?? ????? ??????????? - ????? ? ?????? 2008, ?? 9+12+12+12+1= 46 ??????? ? ???? ?????????? 1459 ???????????, ???????? ??????????? ??????????? 31,7 ??????????? ? ?????

???????? Ubuntu Linux 11.10 ????? ? ??????? 2011, ?? 3+1= 4 ?????? ? ???? 156 ???????????, ???????? ??????????? ??????????? 39,00 ??????????? ? ?????

?? ???? ??? ????????? ????????????? ??? ???????? ??????????? ??????????? ? ??? ?????????? ????? 30 ????? ??????????? ? ?????

? ??? ? ?????????????? ??? ????????? ?? ??????????? ???????? Microsoft

Windows 7 ????? ? ??????? 2009, ?? 3+12+12+1=28 ??????? ? ??? ??????? 190 ???????????, ???????? ??????????? ??????????? 6,78 ??????????? ? ?????

?????????? Windows XP ????? ? ??????? 2001 ????, ?? 3+10*12+1=124 ?????? ? ??? ????? 519 ???????????, ???????? ??????????? ??????????? 4,18 ??????????? ? ?????

?? ???? ??? ????????? Windows ???????? ??????????? ? ??? ????? ??????????? ? 5-8 ??? ?????? ???????? ??????????? ??????????? ? ????????? ???. ?????? ???? ???? ????? Window ?????????? ????? ??? 10-?????? ???????? (Windows XP) ? ???????? ? ???????? ????????? ??? Ubuntu Linux 11.10, ?? ???????? ??????????? ??????????? ??? ??? ????? ??????????? ? 39,00:4,18=9,33  - ? ?????? ? ?????? ???!

?????? ???????, ??? ??? ???????, ?????????????? ???-????????????? (Ubuntu, ? ?????????) ?????????? ??????????? ??? ????? ? ????? ???????????? (? Ubuntu ?? 2 ?????? ? ???), ????? ????? ????????? ? ??? ???? ?? ????? ??????????? ??? ??????????. ?? ??? ??????? ???????? ??????????? ??????????? ???? ???? ?? ???????.

? ??? ??????? ????? ?????? ?????????? ??????, ??? ??????? ?????? ? ???????? ?????????? ??????????? ? ???????????? ????????. ???????, ??? ??????? ?? ??? ?????????? ???-???? ??????? ????????? ?? ???????? ???????? ???????? ?????????? ?????????, ??? ?????? ????????? ? ?????????????? ?????? ?? SDL (Security Development Lifecycle) ? ?????????? ????? (?? ??????? ?????????? ?????, ??????? ??? ? ?????????? "?????????? ???") 

???????? ? ?????? ???, ????????????.

?????? ? ????????? ???, ????????? ?????????. 


Comments (14)

  1. Про сравнение одинаковых кодовых баз: идем сюда
    web.nvd.nist.gov/…/statistics
    и в ключевых словах указываем "Microsoft", потом "Redhat" – сравниваем. Потом делаем то же самое для "Microsoft Office", "Redhat OpenOffice" и "OpenOffice". Результаты можете сами оценить.

    Что касается OpenBSD. Я бы не рискнул приводить этот проект как "хороший пример": насколько я помню, они провозглашают принцип полного аудита кода, но при этом по той же ссылке можно увидеть, что уязвимостей в OpenBSD хватает и их относительно малое число
    можно легко отнести на  очень консервативную политику команды по включению кода в проект, а не на их успеехи в аудите.

  2. Спасибо за ссылку на интересную статью. Сделать национальную ОС за 5 млн. рублей это круто! – протолкнуть свою платформу, да еще и деньги за это получить – это круто! 🙂 И главное не в уязвимостях, а в том, что на ОС сейчас никто не зарабытывает: зарабатывают на поставках ПО. В этом конкретном случае нашим госучереждениям будут продавать ПО разработанное на базе Linux, и это ПО будет стоить не бесплатно, а дорого, и уж точно оно не будет СПО! Или кто-то поверит, что компания IBM подарит нам свою систему управления Tivoli за "так" и в исходниках, а следом ломанется VMware и подарит свою систему управления "облаками"? 🙂

  3. Anonymous says:

    2 kostik450

    Так может, не стоит вывешивать на всеобщее обозрение детальную карту своей крепости с укреплениями/защитой и расписанием караула?

  4. 2 oh hai

    OpenBSD как раз является хорошим примером того, как надо подходить к разработке продукта с точки зрения безопасности. Правда, я считаю, что они сделали продукт хорошо защищенным в ущерб функциональности и с недружелюбным для основной массы пользователей интерфейсом. Именно поэтому при хороших показателях общих найденных уязвимостей (пусть читатели посмотрят сами на secunia/com – сколько их 🙂 ) распространение этого продукта достаточно ограничено.  

  5. Anonymous says:

    Денис, а почему? Академический интерес.

  6. Руслан, думаю, что подобные статьи больше к лицу авторам с другой стороны "баррикад" -)

  7. Провокационный и, на мой взгляд, ненужный пост -)

  8. потому что сравнивать надо одинаковые кодовые базы says:

    вы учитываете в ms windows случаях только кодовую базу операционной системы.

    в linux (всех мастей) вы сравнимаваете кодовую базу всех пакетов. включая те, аналогов которых в кодовой базе windows попросту нет (open office,gimp more more more)

    сравните правильно – будет действительно интересно.

    и я бы не валил все классы ошибок в кучу, но тут уж исследователю карты в руки.

    Michael

  9. oh hai says:

    А что уважаемый автор думает насчёт OpenBSD?

  10. ivan says:

    Чувствуется, что писавший эту статью с не отделяет мух от котлет.

  11. Санитар says:

    Евангелист второй свежести рассуждает о вкусе того, чего никогда не пробовал. Забавно.

  12. kostik450 says:

    Может быть, дело в том, что в СПО исходники открыты и в них просто-напросто в ДЕВЯТЬ раз удобнее и быстрее находить уязвимости? Риторический вопрос.

  13. Lena says:

    Так легко и интересно написано… было приятно почитать и познать что-то новое….

    p.s. Те, кто интересуется психологией, заходите на мой блог, скачивайте новую бесплатную книгу "Работа с подсознанием". Кликните по ссылке»> blog.prosperitylab.ru/…/moya-novaya-kniga-rabota-s-podsoznaniem.html

  14. 123 says:

    thfthftl; krgn dlr 123.ru

Skip to main content