Symantec: Microsoft i Red Hat najszybciej łatają luki, Sun najwolniej

Firma Symantec opublikowała raport [PDF] na temat bezpieczeństwa w Internecie. W raporcie znaleźć można m.in. statystyki reakcji na luki bezpieczeństwa, a także dane na temat kradzieży tożsamości.

Najciekawsze w raporcie (brany był pod uwagę okres całego 2007 roku) wydają się statystyki szybkości łatania luk bezpieczeństwa w systemach operacyjnych.

Najlepiej w rankingu wypadł Microsoft, który średnio łatał luki w ciągu 18 dni w pierwszej połowaie roku i tylko 6 dni w druiej połowie. Z 38 łatek dwie związane były z aplikacjami zewnętrznymi.

Red Hat znalazł się na drugim miejscu ze średnią reakcją na lukę w granicach 32-36 dni. Luk załatać musiał jednak o wiele więcej — aż 227, z czego 226 związane było z aplikacjami zewnętrznymi (co wynika z natury Linuksa).

Apple, HP i Sun Microsystems pozostają w tyle za Red Hatem i Microsoft, przy czym ta ostatnia firma potrzebowała średnio aż 157 dni na załatanie luk bezpieczeństwa w druiej połowie 2007 roku.

Luki zostały następnie podzielone na grupy, zależnie od miejsca występowania. Tutaj można zauważyć pewną tendencję — w systemach Microsoftu aż 82% luk znalazło się po stronie klienta (w tym bezpośrednio w przeglądarce internetowej). Winę ponosi za to głównie niebezpieczny ActiveX, który odpowiadał za 80-90% luk w przeglądarce w Windows.

Jeśli lubicie oglądać ładne wykresy, odsyłam do artykułu źródłowego na ArsTechnice.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Maciek
    Maciek

    Red Hat znalazł się na drugim miejscu ze średnią reakcją na lukę w granicach 32-36 dni. Luk załatać musiał jednak o wiele więcej — aż 227, z czego 226 związane było z aplikacjami zewnętrznymi (co wynika z natury Linuksa)….

    … istotny więc jest czas załatania TEJ JEDNEJ luki NIE związanej było z aplikacjami zewnętrznymi 🙂

    1. Awatar michuk
      michuk

      Wiesz, to nie do końca jest tak. Co obchodzi klienta czy firma dostarcza swoje aplikacje czy cudze? I tak naprawdę kto jest odpowiedzialny za aplikacje na GPL? Raczej ten kto sprzedaje system i daje na niego gwarancję. Więc biznesowo, takie porównanie IMHO jak najbardziej ma sens.

    2. Awatar trasz
      trasz

      Jesli brali pod uwage caly rok 2007, to samych eksploitowalnych dziur w kernelu Linuksa bylo wiecej niz jedna.

      1. Awatar poldek
        poldek

        Ciekawe ile JEST w windowsie? 😀

        1. Awatar trasz
          trasz

          Rownie dobrze moznaby zapytac, ile _jest_ w Linuksie. Zwykle – z braku lepszego wyznacznika – ocenia sie to na podstawie ilosci dziur znajdywanych.

  2. Awatar niedzwiedz_2
    niedzwiedz_2

    Powiem szczerze, że to wielki szok dla mnie, MS jest tak wysoko O.O

  3. Awatar pawels
    pawels

    Szkoda, że w zestawieniu nie ma podanego statusu bugów. Ciekawe tylko ile z tych łatek miało status "wishlist" oraz ile nawet nie było bugami, a ficzerami (jak np. zawieszanie się Office'a podczas otwierania niektórych plików).

    Jeszcze jedno: MS może _statystycznie_ łatać nawet 3 razy dziennie, ale łaty publikuje (poza skrajnymi przypadkami) co miesiąc, w któryśtam wtorek.

  4. Awatar Deathplanter
    Deathplanter

    Jaki autorytet może mieć w tej dziedzinie firma, która zajmuje się tak naprawdę tylko produktami Microsoftu?

    1. Awatar Ku8a
      Ku8a

      Co znaczy "tak naprawde"? Symantec ma kilka niezlych produktow na Unixy i Linuxy (np. Symantec Critical System Protection). Poza tym, produkty Symantec'a sluza, mowiac bardzo ogolnie, zapewnieniu bezpieczenstwa, wiec jaki jaki cel mieliby w tym, zeby 'poprawiac' statystyki Microsoft'u i mowic, ze bezpiecznie to juz w sumie jest?

      Mialbys takie obiekcje gdyby powiedzieli, ze Microsoft ssie?

      1. Awatar echu
        echu

        Oczywiscie, potwierdzili by w ten sposob niski poziom bezpieczentswa srodowiska dzieki ktoremu zyja. Masz jakis problem z logika? Symantec MUSI chwalic i uwiarygadniac "srodowisko windows" bo ten marketing chroni jego nisze. A im bardziej sie to rozmija z prawda tym lepiej dla Symanteca.

  5. Awatar m
    m

    z jednej strony takim firmom na pewno zależy na utrzymaniu dominującej pozycji win, bo inaczej straciliby zyski. z drugiej jednak strony muszą wciąż straszyć klientów wina, by ci kupowali ich produkty.
    więc w sumie nie sądzę, żeby mieli coś przekłamywać. moim zdaniem błędem jest jednak nie uwzględnienie jakości błędów, niewykluczone, że luki windows były bardziej krytyczne.

  6. Awatar yethwa
    yethwa

    LOL kolejny raport na zlecenie m$$$$$$$$$$$.
    m$$$$$$$$$$$ najlepszy w łataniu błędów… śmiech na sali po prostu.

  7. Awatar Ku8a
    Ku8a

    @echu: wydaje mi sie, ze Ty masz problem z logika bo:
    – Symantec mowi, ze Windows jest OK – zle, klamiac uwiarygadnia srodowisko z ktorego zyje.
    -Symantec mowi, ze Windows nie jest OK – zle, klamiac straszy uzytkownikow Windowsa i naklania do kupowania ich produktow.

    Wniosek, Symantec nie powinien publikowac, zadnych raportow dotyczacych bezpieczenstwa (czyli dzialki ktora sie zajmuje) bo zawsze to klamstwo i manipulacja? Sa jeszcze na Ziemi jacys uczciwi ludzie oprocz Ciebie? Zalozyles, ze moze napisali prawde?

    1. Awatar echu
      echu

      Jezcze raz tak, powoli, tak zebys mogl zrozumiec:
      1) to "srodowisko windows", ktore wymusza uzywanie dodatkowych narzedzi bezpieczenstwa sprawia, ze symantec ma co jesc, oni to srodowisko swietnie znaja, maja pozycje na rynku i jakakolwiek zmiana w rodzaju, ze albo Windowsy nie potrzebuja dodatkowych narzedzi bo zapewnia je MS, albo windowsy sa z rynku wypierane czy ja wiem, przez Amige – jest Symantecowi bardzo nie na reke, jak do tej pory pojmujesz? Jesli nie to dodam – sa za utrzymaniem obecnej sytuacji bez zmian.
      2) Marketingowo sa w dosc niezrecznej pozycji, powinni chwalic Windowsy bo to powieksza ich rynek, z drugiej strony musza zaznaczyc ze sa do czegos potrzebni, czyli we wszystkich tych pochwalach musza tez powiedzec, ze Windowsy sa bardzo dobre ale musisz dodac do nich proteze zeby byly bezpieczne. Pojmujesz?

      Sa jeszcze dwie rzeczy ktorych kompletnie nie zrozumiales, ale postaram Ci sie je przyblizyc:
      1) Ja w ogole nie odnosilem sie do wiarygodnosci Symanteca, a tylko do tego co napisales jakoby nie mieliby zadnego powodu do manipulacji wynikami badan, maja takei powody, ma je (po namysle dodaje slowo: prawie) kazdy kto badania przeprowadza. Nie tylko nie odnosilem sie do tej wiargodnosci, ona mnie w ogole nie obchodzi.
      2) Powyzej pewnego stopnia komplikacji przedmiotu oceny nie istnieje prosta definicja prawda/falsz, tym bardziej jesli chodzi o pieniadze, dotyczy to szczegolnie raportow, benchmarkow i wszelkich opisow zawierajacych ocene, wazne jest tylko nie tylko jak sie bada (co tez jest nieobiektywne, bo jakies kryteria i metodologie trzeba przyjac) ale tez jak sie wyniki przedstawi. Wiec nie chodzi o to czy Symantec klamie/nie klamie.

      I jeszcze na koniec, oczywiscie sa jeszcze oprocz mnie uczciwi ludzie, jest ich wiecej niz moglbys przypuszczac.

      1. Awatar Ku8a
        Ku8a

        To teraz moja kolej i tez powoli. Symantec nie ma powodu do nierzetelnosci bo tak czy owak albo 'chroni' srodowisko windows (baze dla swoich produktow) albo 'straszy' uzytkownikow windowsa (powieksza grono swoich klientow). W swoim pierwszym komentarzu nie odnosilem sie do wiarygodnosci Symanteca tylko wypowiedzi Deathplantera, ktory kwestionuje rzetelnosc opracowania Symanteca tylko dlatego, ze nie pasuje to do jego opinii o Microsofcie i Windowsie (Microsoft to dno a Windows ssie). Gdyby Symantec napisal, ze Windows to dziurawy system i patchowany raz na rok Deathplanter pochwalilby raport za glebie i wnikliwosc. Stad moje pytanie czy wtedy zglaszalby swoje obiekcje i stad Twoja bledna odpowiedz "Oczywiscie". Oczywiscie, ze nie bo jak pisza o MS dobrze to manipulacja i brak rzetelnosi, a jak zle to cool i najprawdziwsza prawda.

        1. Awatar echu
          echu

          Nie jest bledna, bo to co widzisz jako powod do rzetelnosci jest tak samo powodem do nierzetelnosci. Gdyby Windows, i *nices z makiem byly dla nich tak samo waznymi srodowiskami moglbys byc wlasciwie pewien obiektywnosci, w kazdym innym wypadku rozsadne jest domniemywanie interesownosci a wiec manipulacji, w kontekscie o ktorym pisalem, wiec nie totalnie zalganej propagandy a po prostu tendencyjnosci i marketoidu.

        2. Awatar mini
          mini

          Co do manipulacji i rzetelnosci niezaleznych organizacji warto przeczytac ten artykul
          Bezpieczenstwo

  8. Awatar SeeM
    SeeM

    W dystrybucjach Linuksa jest statystycznie wolniej, bo na bugzilli Red Hata są setki wątków, z których część oczywiście jest błędami. Ale nawet żeby zamknąć błahy problem, gdzie problem leży po stronie admina, to trzeba przejrzeć logi, spróbować odtworzyć u siebie i trochę to zajmuje.
    :
    Microsoft ma za to trochę lepiej, bo czasem sami znajdą błąd we własnym kodzie, więc informują o błędzie równo z wypuszczeniem łatki i mają za to 0 godzin.
    :
    Ciekawy wniosek jest taki, że gdyby Microsoft wymyślił coś nowego zamiast Windows Update i zrezygnował w ogóle ze wspierania ActiveX, to zrobiłby się z tego całkiem bezpieczny system. Oczywiście są ludzie którzy to wyłączają, ale odinstalować się nie da.

  9. Awatar sig
    sig

    A jak liczono ten czas? bo w ubiegłorocznym raprocie symatenca liczono go od przyznania się producenta oprogramowania do załatania danej dziury, czyli uzyskanie 0 czasu reakcji nie stanowiło problemu (starczyło iść w zaparte, i dopiero w momencie wydania patcha przyznać się że faktycznie był bug). inna sprawa to czy brać czas ogłoszenia że prace nad łatą są skończone czy też jej publikacji, bo w przypadku microsoftu między nimi mija sporo czasu.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *