19.06.2007

"Критические дни": Linux, Mac OS X, Solaris and Windows

image

Быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.

Джефф Джонс провел очередное исследование на тему того, как долго компании закрывают найденные дыры в своем ПО.

Рассматривались следующие коммерческие операционные системы:

  • Apple:  Mac OS X, все версии, исправленные в 2006 году.
  •   Microsoft:  Windows 2000 (Professional и Server), Windows XP, Windows Server 2003. 
  • Red Hat:  Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3, and Red Hat Enterprise Linux 4
  •  Novell:  SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, и SUSE Linux Enterprise Desktop 10
  • Sun:  Все версии Solaris, исправленные в 2006

В случае, если одна уязвимость устранялась для разных версий ОС в разное время, то за время устранения считалось как среднее значение двух дат.

Если одна уязвимость устранялась в нескольких компонентах одного продукта в разное время, то уязвимость считалась устраненной, когда было выпущено последнее исправления. Например, если 1 января появилась уязвимость в Firefox и Thunderbird в RHEL3, а патч для Firefox был выпушен 10 января, а для Thunderbird 15 января, то считалось, что на устранения одной уязвимости было потрачено 15 дней.

В результате были получены следующие значения среднего времени устранения уязвимостей в различных операционных системах.



Как видно из графика, быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.

Novell в свое время прокомментировал отчет Forrester, в котором сообщалось что Windows является более безопасной системой, чем Linux:

“Каждая уязвимость изучается отдельно и оценивается ее риск.. Затем определяется серьезность этой уязвимости. Исходя из серьезности, определяется приоритет работ по исправлению этой уязвимости… Установление приоритета означает, что уязвимости с низкой опасностью устраняются позже, чем более критические уязвимости”

На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.


В конце Джефф Джонс сравнил скорость изменения всех уязвимостей в различных операционных системах по сравнению в 2005 годом.



Данные полученыне Джефом несколько расходятся с исследованием компании Symantec, в котором утверждалось что Microsoft устраняет уязвимости в среднем за 21 день, Red Hat за 58, Appple Maс OS за 66, а Solaris за 122 дня. Однако сравнение Symantec затрагивает меньший период времени – только вторую половину 2006 года.
comments powered by Disqus