Посещая различные конференции по ИБ я неоднократно слышал одно и то же утверждение представителей Microsoft о том, что ОС Windows Vista куда более безопаснее, чем Linux, а MS SQL Server 2005 чем любая другая СУБД. В качестве аргумента приводилась статистика по опубликованным уязвимостям соответственно для Windows/Linux и SQL Server 2005/Oracle.
Не смог удержаться, чтобы не пооспаривать подобные утверждения. Вот аргументы:
- неверно сравнивать ПО с открытым и закрытым кодом. По-моему очевидно: насколько хорошо сделан ремонт в квартире значительно проще понять просто зайдя туда, вместо того, чтобы пытаться догадаться об этом через закрытую дверь;
- все-таки суждения о безопасности ПО необходимо строить в отношении к количеству инсталляций. Тут приходит на ум хорошая аналогия с криптографией: правильным считается выбирать проверенные временем решения, а не только что придуманные новинки; к тому же это подтверждается, например, в отчетах Symantec: Windows Vista Network Attack Surface Analysis и Security Implications of Windows Vista . Пользователи логично опасаются ставить новинки, что замедляет исследования в области безопасности (неуловимый Джо потому и неуловим, что он никому не нужен).
- (совсем странное умозаключение) если исходить из того, что количество уязвимостей конечно, то чем больше их обнаружили, тем меньше их осталось. Понятно, что можно возразить, типа, каждый фикс приносит новые проблемы, и что это утверждение работает только в случае, если ПО не развивается (т.е. в нем не появляются новые функции вообще). Но я здесь имею в виду как раз то, что называется "зрелостью" ПО, то, к чему уже более неприменимо понятие "сырое".
В заключение, уважаемые читатели, если вы согласны хотя бы с одной мыслью изложенной в этом посте, имейте ее в виду, прослушивая пламенные речи о совершенстве всего нового, доселе неисследованного, поскольку в такой области как безопасность только время покажет что безопаснее, никакие косвенные, специально подобранные факты здесь не помогут. Обращайте внимание на факты практических внедрений тех или иных решений, ибо умные люди совершенно законно утверждают, что теория похожа на практику только на теории.
