http://poledance-tomsk.ru - Pole Dance в Томске, POLE DANCE ARTISTIC, POLE DANCE FITNESS (SPORT), POLE DANCE EXOTIC, AERIAL SILK (Воздуные полотна), STRETCHING, АКРОБАТИКА
Имя пользователя
Пароль:
 


Страниц: [1]
  Печать  
 
Автор Тема: MS vs СПО: Разность в скоростях обнаружения уязвимостей  (Прочитано 1028 раз)
06.02.12 01:37:42
PaLSaN
Пользователь
*****
Сообщений: 657

Moderator


« : 06.02.12 01:37:42 »

MS vs СПО: Разность в скоростях обнаружения уязвимостей

Источник blogs.technet.com
TechNet Blogs, Блог Владимира Мамыкина, Директор по информационной безопасности

 Сегодня прочитал любопытную статью http://open.cnews.ru/news/top/index.shtml?2012/02/01/475520 о том, что, как пишет CNEWS  "Минкомсвязи засекретило «русскую Windows», так как она полностью американская". Раньше я никогда бы не подумал, что сторонники СПО могут таким образом конкурировать друг с другом, но времена, видимо, меняются. Но на мысль написать этот пост меня навели не внутренние притиворечия внутри СПО (что нормально для любого сообщества), а, как пишет CNEWS в статье. использование "в качестве прототипа национальной операционной системы России дистрибутива Red Hat Enterprise Linux 5". Это ведь довольно старый дистрибутив, подумал я, и решил посмотреть, а сколько там в нем нашли уязвимостей за время его жизни.Ведь известно, что чем дольше ПО живет на свете, тем больше у него можно обнаружить уязвимостей - просто для их поиска есть больше времени :-)

Оказалось что на сегодня у Red Hat Desktop Linux 5.х обнаружена 1801 уязвимость. Первая версия этого дистрибутива (5.0) вышла в марте 2007, последняя (5.7) в июле 2011. Для наших оценок скорости обнаружения уязвимостей чем дольше продукт на рынке при том же самом числе обнаруженных уязвимостей, тем почетней это для продукта. Поэтому возьмем для расчетов максимальное время жизни этого дистрибутива. Итак, у дистрибутива 5.х за 10+4*12+1=59 месяцев обнаружено 1801 уязвимость, скорость обнаружения уязвимостей =30,5 уязвимостей в месяц

У новейшего продукта Red Hat Desktop Linux 6, вышедшего в сентябре 2010, за 4+12+1= 17 месяцев обнаружено на сегодня 596 уязвимостей, скорость обнаружения уязвимостей 35,0 уязвимостей в месяц

Ubuntu Linux 8.04 - многие верят в миф о том, что дистрибутивы Ubuntu не имеют уязвимостей - вышел в апреле 2008, за 9+12+12+12+1= 46 месяцев у него обнаружено 1459 уязвимостей, скорость обнаружения уязвимостей 31,7 уязвимостей в месяц

Новейший Ubuntu Linux 11.10 вышел в октябре 2011, за 3+1= 4 месяца у него 156 уязвимостей, скорость обнаружения уязвимостей 39,00 уязвимостей в месяц

То есть для различных дистрибутивов СПО скорость обнаружения уязвимостей в них составляет более 30 новых уязвимостей в месяц

А как у проприетарного ПО? Посмотрим на аналогичные продукты Microsoft

Windows 7 вышла в октябре 2009, за 3+12+12+1=28 месяцев у нее найдено 190 уязвимостей, скорость обнаружения уязвимостей 6,78 уязвимостей в месяц

Старенькая Windows XP вышла в октябре 2001 года, за 3+10*12+1=124 месяца у нее нашли 519 уязвимостей, скорость обнаружения уязвимостей 4,18 уязвимостей в месяц

То есть для различных Windows скорость обнаружения в них новых уязвимостей в 5-8 РАЗ МЕНЬШЕ скорости обнаружения уязвимостей в продуктах СПО. Причем даже если взять Windows разработки более чем 10-летней давности (Windows XP) и сравнить с новейшим продуктом СПО Ubuntu Linux 11.10, то скорости обнаружения уязвимостей для них будут различаться в 39,00:4,18=9,33  - в ДЕВЯТЬ с лишним раз!

Именно поэтому, как мне кажется, производителям СПО-дистрибутивов (Ubuntu, в частности) приходится производить все новые и новые дистрибутивы (у Ubuntu по 2 релиза в год), чтобы число уязмостей в них было не столь устрашающим для заказчиков. Но при высокой скорости обнаружения уязвимостей этот трюк не спасает.

В чем причина таких разных скоростей? Уверен, что причина просто в качестве управления разработкой и тестирования продукта. Надеюсь, что коллеги из СПО сообщества все-таки начнуть применять на практике принципы создания защищенных продуктов, так хорошо описанные в опубликованных книгах об SDL (Security Development Lifecycle) и защищенных кодах (на русской переведена книга, которая так и называется "защищенный код")
Старания и знаний вам, разработчики.
Знаний о продуктах вам, уважаемые заказчики.
Записан

   
Страниц: [1]
  Печать  
 
Перейти в:  

Яндекс.Директ
реклама3

Powered by SMF 1.1.15 | SMF © 2006-2008, Simple Machines
Cennet By Burak
Томск

Copyright © 2007-2016 pc.tomsk.ru Правовая информация

Реклама на форуме | обратная связь