Mer eller mindre trovärdigt?


Jeff Jones som jobbar som säkerhets-strateg på Microsoft har publicerat en postning om fixade sårbarheter i några vanliga operativsystem på marknaden för att lyfta upp dialogen om “vilket OS är säkrast”.



Jag tycker att det är oerhört intressant att se staplarna i den relationen som inte alls återspeglar medias vinklingar den senaste tiden, men frågan är:


Är det mer eller mindre trovärdigt, när Microsoft säger som det är eller om någon annan gör det, hur bra är den här informationen egentligen?


Länk till – Operating System Vulnerability Scorecard | CSO Blogs

Comments (8)

  1. Johan Idstam says:

    Det vore intressantare att se antalet kända buggar som inte fixats. Detta diagram visar ju bara att Ubuntuutvecklarna fixar fler buggar än Windowsutvecklarna.

  2. Alex says:

    Håller med Johan Idstam.

    Staplarna i bilden säger ingenting om vem som har haft flest buggar, eller om säkerheten av operativsystemen. Det enda staplarna påstår är att alla OS-buggfixare fixar fler buggar än vad Windowsbuggfixarna gör, under perioden.

    Vilket OS är säkrast?

    Ett operativsystem som man ser att det rättas många buggar för varje månad eller ett operativsystem där man ser att de inte rättar många buggar varje månad?

    Vill man ändå relatera antalet buggar till OS säkerheten, så måste det sättas i förhållande till antal "exploits" som skrivs för OSet, samt antalet installationer av det OSet världen runt.

  3. JohanLindfors says:

    Varför påverkar antalet installationer nivån på hur säkert ett operativsystem är? Intresset för attacker kan jag förstå, men inte nivån på säkerhet i systemet…

    Om vi säger att OS1 har 1 säkerhetshål och OS2 har 10 säkerhetshål, men OS1 har 100 användare och OS2 har 10 användare så är chansen lika stor att du ska drabbas av en attack oavsett vilket OS som du kör. Men vilket OS är "säkrast", kan det sättas i paritet med underhåll, patchning/uppdatering, det med 1 eller 10 säkerhetshål?

    Det är bra med dialog, jag lär mig nya saker varje dag. Tack för att ni tar er tid att läsa och kommentera!

  4. Johan Idstam says:

    Det är inte antalet installationer vi pratar om. Det är antalet rapporterade buggar som saknas. Vi får (genom staplarna) inte reda på hur stor del av rapporterade fel som tillverkarna fixar.  Jag skulle nog tom tolka staplarna till Ubuntus fördel.

  5. Jonas Lewin says:

    För att svara på:

    "…Är det mer eller mindre trovärdigt, när Microsoft säger som det är…"

    För mig är det samma sak som när Symantec uttalar sig om Symantecs prylar…

    Kan man lätt se källan och vilka buggar det var, samt hur lång tid det tog från att det rapporterades, så gör det att det är lättare att tro på.

    /Jonas

  6. Daniel says:

    Jeff Jones är välkänd och erkänt duktig. Självklart bör man ifrågasätta om en Microsoft-källa skriver att Microsoft är bättre än andra, men Jeff lämnar tydliga källhänvisningar och det är fritt fram att själva räkna vulnerabilities.

    http://blogs.csoonline.com/methodology_sources_and_assumptions_for_monthly_vulnerability_scorecards

    Det knepigaste tycker jag är hur dessa OS som skiljer sig så mycket åt skall kunna jämföras, många har invändningar på hur Jeff Jones gjort denna klassning, och han besvarar kritiken i den här posten: http://blogs.technet.com/security/archive/2007/01/29/common-objections-comparing-linux-distros-with-windows.aspx

    En hardend box (server) klarar sig ifrån många av de vulnerabilities som hittas oavsett vilket OS som väljs, och därför är just workstation jämförelserna med default install mer spännande, vad riskerar en vanlig avändare att utsättas för.

  7. Daniel says:

    Intressant post på ISS Frequency X Blog angående Vista/Microsoft/Säkerhet.

    http://blogs.iss.net/archive/VistaBugs.html

  8. Samsonite says:

    Vore det inte intressant att veta *ungefär* hur många program/libs/drivrutiner som utgör varje installation?

    Är tex en sådan här säkerhetsuppdatering medräknad:

    https://rhn.redhat.com/errata/RHSA-2006-0742.html

    (En textbaserad webläsare)