19.06.2007

"Критические дни": Linux, Mac OS X, Solaris and Windows

image

Быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.

Джефф Джонс провел очередное исследование на тему того, как долго компании закрывают найденные дыры в своем ПО.

Рассматривались следующие коммерческие операционные системы:

  • Apple:  Mac OS X, все версии, исправленные в 2006 году.
  •   Microsoft:  Windows 2000 (Professional и Server), Windows XP, Windows Server 2003. 
  • Red Hat:  Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3, and Red Hat Enterprise Linux 4
  •  Novell:  SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, и SUSE Linux Enterprise Desktop 10
  • Sun:  Все версии Solaris, исправленные в 2006

В случае, если одна уязвимость устранялась для разных версий ОС в разное время, то за время устранения считалось как среднее значение двух дат.

Если одна уязвимость устранялась в нескольких компонентах одного продукта в разное время, то уязвимость считалась устраненной, когда было выпущено последнее исправления. Например, если 1 января появилась уязвимость в Firefox и Thunderbird в RHEL3, а патч для Firefox был выпушен 10 января, а для Thunderbird 15 января, то считалось, что на устранения одной уязвимости было потрачено 15 дней.

В результате были получены следующие значения среднего времени устранения уязвимостей в различных операционных системах.



Как видно из графика, быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.

Novell в свое время прокомментировал отчет Forrester, в котором сообщалось что Windows является более безопасной системой, чем Linux:

“Каждая уязвимость изучается отдельно и оценивается ее риск.. Затем определяется серьезность этой уязвимости. Исходя из серьезности, определяется приоритет работ по исправлению этой уязвимости… Установление приоритета означает, что уязвимости с низкой опасностью устраняются позже, чем более критические уязвимости”

На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.


В конце Джефф Джонс сравнил скорость изменения всех уязвимостей в различных операционных системах по сравнению в 2005 годом.



Данные полученыне Джефом несколько расходятся с исследованием компании Symantec, в котором утверждалось что Microsoft устраняет уязвимости в среднем за 21 день, Red Hat за 58, Appple Maс OS за 66, а Solaris за 122 дня. Однако сравнение Symantec затрагивает меньший период времени – только вторую половину 2006 года.
или введите имя

CAPTCHA
Страницы: 1  2  
Не задан ID пользователя.

19-06-2007 14:11:24
Вот что выдает Гугль: ABOUT THE AUTHOR. Jeff Jones is a Security Strategy Director in Microsoft’s Trustworthy Computing group.
0 |
Pank
04-01-2009 11:01:06
Sun Microsistem одна из наиболее надежных систем была и есть и все промышленные решения именно на ней, это тоже статистика и это факт !!! Надо учитывать еще скоко мозга головного у админа и оборудыван он им вообще !!! Соляра запрегается долго но работает долго и надежно как трактор есть сервера с аптаимом от 380 до 420 дней и это не рекорд и это простая работа сервера (это еще не кластер) !!!!!!
0 |
19-06-2007 14:19:17
Да. Если бы MS еще учитывало те уязвимости, которые до сих пор не устранены
0 |
19-06-2007 14:21:22
Ну до сих пор нет четкого понятия что такое уязвимость, и каждый ее по свойму трактует. FreeBSD вообще не считает локальный DoS за уязвимость.
0 |
R
21-06-2007 03:35:32
> FreeBSD вообще не считает локальный DoS за уязвимость. Microsoft не считает возможность выполнения вредоносного кода с помощью Autorun и поднятие привилегий с помощью desktop.ini+folder.htt за уязвимости.
0 |
19-06-2007 14:25:45
Очевидно что в Linux системах уязвимости будут устранятся дольше, так как происходит десинхронизация между производителем выпускающем ПО и дистрибьютером выпускающим исправление. Если Red Hat включает в дистрибутив Firefox, то и за безопасность Firefox она должна отвечать. А с момента выхода патча для Firefox и до того, как Red Hat выпустит свое исправление пройдет всегда некоторое время. Microsoft тут проще, все что у них в дистрибутиве, выпускают они сами.
0 |
R
21-06-2007 02:13:20
Очевидно что в Linux системах уязвимости будут устранятся дольше, так как происходит десинхронизация между производителем выпускающем ПО и дистрибьютером выпускающим исправление. В Linux системах есть выбор - обновиться уже сейчас или подождать официальной бинарной сборки, в закрытых системах такого выбора нет, совсем. А "протестированные" обновления для закрытых систем намного чаще приносят проблемы, чем "сырые" неоттестированные патчи для открытых систем. Microsoft тут проще, все что у них в дистрибутиве, выпускают они сами. Все крупные компании имеют массу отделов и мощную тормозную бюррократическую систему, так что отнюдь не факт, что координация действий между разработчиками и мантейнерами открытых систем в принципе должна быть медленнее, чем координация действий между отделами техподдержки, разработки, Q&A и еще целой кучей отделов внутри огромной распределенной корпорации.
0 |
19-06-2007 14:56:06
Всё вроде логично в этих графиках, но почему корпорация Sun критические уязвимости в своих продуктах закрывает с меньшим энтузиазмом, чем неопасные?
0 |
Сергей
19-06-2007 19:01:46
и че там логичного? мой опыт говорит как раз об обратном. может, здесь найдется кто-то кто меня поправит? админы ау! кто из вас ждал заплатку на свой линукс дольше чем на винду?
0 |
19-06-2007 19:09:21
ДА всегда такое происходит. Ты не путай исправления уязвимостей в приложении и выход соответствующего патча от дистрибьютора ОС. Тут на месяца иногда растягивается. Конечно можно патч и самому поставить и тот же firefox обновить, но как раз и платят Red Hat за то, чтобы они тестировали все исправления перед тем как давать их клиентам.
0 |
19-06-2007 15:22:16
думаю, для оценки безопасности ОС интересна не только скорость устранения уязвимостей, но и количество вновь открываемых.
0 |
Страницы: 1  2