总部设在剑桥的Forrester研究公司“计算基础设施”的高级分析员Laura Koetzle最近发现,不论是Windows还是Linux,它们都可以实现安全部署!然而,由于微软的产品具有最多的重大安全漏洞,微软也成为了修复安全问题速度最快的公司。但Koetzle表示,这也不失为是一件好事。
大多数IT专业人士都认为Linux具有比Windows更高的安全性。不过,Koetzle发觉真实世界中的答案可能要比纯理论上的分析要复杂得多。
根据对过去发现的安全漏洞的调查分析,Koetzle相信安全漏洞之后有一个时间轴。换句话说,安全隐患具有可预期的生命期限。
在有限的时间里,真正受到攻击的安全漏洞是由于有机构向公众揭示而引发的。紧接着,独立软件开发商或开放源程序开发人员以当前漏洞为优先,为其开发了稳定的修正补丁。
肆无忌惮的攻击者开始利用已发现的安全隐患,但他们的行动已滞后于上述开发人员的工作。
换句话说,真实世界中针对任一操作系统的大量安全漏洞其实可以通过及时的修复管理进行修补。
Koetzle说:“这取决于用户应用安全补丁。然而,上述行动并不是一项简单的任务:因为基本上没有公司会坚持稳固的平台配置,它们缺乏强有力的测试。部署进程、修复程序可能会花费它们一个月甚至更长的时间。”
按照Forrester的观点,评价操作系统的关键问题在于:OS经销商以多快的速度修补公开的安全漏洞;同其他经销商的操作系统相比,该OS的安全问题有多严重;经销商多长时间达到安全漏洞的100%修复。
基于上述方法,Forrester分析了2002年6月1日到2003年5月31日期间,在Debian、Mandrake、Windows、Red Hat和SuSE等操作系统上发现的安全漏洞的数据。
微软公司在发现漏洞到发布补丁之间的平均时间为25天,Windows因此成为了平均“全部危险天数”最少的操作系统。另外,微软公司已修复了它所有的安全漏洞。但是,ICAT将微软安全漏洞的67%列为“高度严重”。
相比之下,Red Hat公司的Linux漏洞中只有56%达到“高度严重”的级别。Red Hat修复了229个Linux漏洞中的99.6%。Debian Project花费了57天修复安全问题,在Linux经销商中属于危险天数最少的一个。但是它只修复了96.2%的安全漏洞。
MandrakeSoft有60%的安全漏洞被ICAT列为“高度严重”,它修复了199个漏洞中的99%;SuSE Linux有63%的安全漏洞被ICAT列为“高度严重,修复了176个漏洞中的97.7%。
有鉴于微软及Debian过去取得的成功,Forrester建议公司企业应重视快速应用补丁的作用。
|