"Критические дни": Linux, Mac OS X, Solaris and Windows
"Критические дни": Linux, Mac OS X, Solaris and Windows
Alexander Antipov
Быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.
Джефф Джонс провел очередное исследование на тему того, как долго компании закрывают найденные дыры в своем ПО.
Рассматривались следующие коммерческие операционные системы:
В случае, если одна уязвимость устранялась для разных версий ОС в разное время, то за время устранения считалось как среднее значение двух дат.
Если одна уязвимость устранялась в нескольких компонентах одного продукта в разное время, то уязвимость считалась устраненной, когда было выпущено последнее исправления. Например, если 1 января появилась уязвимость в Firefox и Thunderbird в RHEL3, а патч для Firefox был выпушен 10 января, а для Thunderbird 15 января, то считалось, что на устранения одной уязвимости было потрачено 15 дней.
В результате были получены следующие значения среднего времени устранения уязвимостей в различных операционных системах.
Как видно из графика, быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.
Novell в свое время прокомментировал отчет Forrester, в котором сообщалось что Windows является более безопасной системой, чем Linux:
“Каждая уязвимость изучается отдельно и оценивается ее риск.. Затем определяется серьезность этой уязвимости. Исходя из серьезности, определяется приоритет работ по исправлению этой уязвимости… Установление приоритета означает, что уязвимости с низкой опасностью устраняются позже, чем более критические уязвимости”
На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.
В конце Джефф Джонс сравнил скорость изменения всех уязвимостей в различных операционных системах по сравнению в 2005 годом.
Данные полученыне Джефом несколько расходятся с исследованием компании Symantec, в котором утверждалось что Microsoft устраняет уязвимости в среднем за 21 день, Red Hat за 58, Appple Maс OS за 66, а Solaris за 122 дня. Однако сравнение Symantec затрагивает меньший период времени – только вторую половину 2006 года.
Рассматривались следующие коммерческие операционные системы:
- Apple: Mac OS X, все версии, исправленные в 2006 году.
- Microsoft: Windows 2000 (Professional и Server), Windows XP, Windows Server 2003.
- Red Hat: Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3, and Red Hat Enterprise Linux 4
- Novell: SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, и SUSE Linux Enterprise Desktop 10
- Sun: Все версии Solaris, исправленные в 2006
В случае, если одна уязвимость устранялась для разных версий ОС в разное время, то за время устранения считалось как среднее значение двух дат.
Если одна уязвимость устранялась в нескольких компонентах одного продукта в разное время, то уязвимость считалась устраненной, когда было выпущено последнее исправления. Например, если 1 января появилась уязвимость в Firefox и Thunderbird в RHEL3, а патч для Firefox был выпушен 10 января, а для Thunderbird 15 января, то считалось, что на устранения одной уязвимости было потрачено 15 дней.
В результате были получены следующие значения среднего времени устранения уязвимостей в различных операционных системах.
Как видно из графика, быстрее всех исправление выпускала компания Microsoft, которой требовалось в среднем 29 дней для закрытия уязвимости, а хуже всех компания Sun, которая устраняла уязвимости в среднем за 167 дней.
Novell в свое время прокомментировал отчет Forrester, в котором сообщалось что Windows является более безопасной системой, чем Linux:
“Каждая уязвимость изучается отдельно и оценивается ее риск.. Затем определяется серьезность этой уязвимости. Исходя из серьезности, определяется приоритет работ по исправлению этой уязвимости… Установление приоритета означает, что уязвимости с низкой опасностью устраняются позже, чем более критические уязвимости”
На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.
В конце Джефф Джонс сравнил скорость изменения всех уязвимостей в различных операционных системах по сравнению в 2005 годом.
Данные полученыне Джефом несколько расходятся с исследованием компании Symantec, в котором утверждалось что Microsoft устраняет уязвимости в среднем за 21 день, Red Hat за 58, Appple Maс OS за 66, а Solaris за 122 дня. Однако сравнение Symantec затрагивает меньший период времени – только вторую половину 2006 года.
Теория струн? У нас целый оркестр научных фактов!
От классики до авангарда — наука во всех жанрах