Неадекватное сравнение безопасности операционных систем

01.01.2008 21:32

В статье "Исследование на тему: какая ОС безопаснее?" предпринята очередная попытка сравнения уровня безопасности операционных систем. Как и в других подобных статьях, допускаются следующие ошибки:

  1. Сравнивается общий объем уязвимостей найденных в сравнительно небольшом числе программ входящих в состав Windows c огромной базой программ поставляемых в современных Linux дистрибутивах;
  2. При оценке скорости выпуска исправлений производится подмена понятий, и вместо оценки общего времени существования уязвимости, измеряется время от официального объявления о наличии проблемы, до выпуска исправлений. В мире закрытого ПО, как правило, наличие уязвимости признают перед самым выпуском обновления, поэтому в время реакции у них, следуя логике данного исследования, получается меньше. Для Red Hat же такой метод позволил растянуть среднее время устранения уязвимости до 106 дней, Solaris - до 167.

Сравнивалась безопасность продуктов выпущенных в 2006 году: Apple Mac OS X,·Microsoft: Windows 2000 (Professional и Server), Windows XP, Windows Server 2003, Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3 и Red Hat Enterprise Linux 4, SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, и SUSE Linux Enterprise Desktop 10, Все версии Solaris, исправленные в 2006.

PS. В оригинале статьи не упомянуто, что она целиком базируется на данных из блога Jeff Jones, и является почти копией материала "Days-of-risk in 2006 : Linux, Mac OS X, Solaris and Windows". Кстати говоря Jeff Jones руководит разработкой стратегии безопасности в Microsoft, этим и объясняется предвзятость его суждений.