[Comm] Re: Статистика по безопасности

[Michael Shigorin]

On Tue, May 04, 2004 at 02:45:18AM +0400, Mikhail Ramendik wrote:
> От меня снова хотят обзор по безопасности - решения MS vs.
> решения Open Source.  CNews любит цифры.

Здесь есть еще один момент, по которому стоит пройти рашпилем до
блеска: MSFT в последнее время взялось уменьшать подсчитываемое
количество фиксов, заворачивая кучку фиксов в кумулятивный патч.
Вот только тут их кастомеры поймали другие грабли -- такие патчи
более латентны и склонны к созданию проблем, причем слабо
связанных с тем, что надо (зачастую срочно) полечить.

Хороший пример -- тред "Re: After Ms patches last Wed ..." в
bugtraq (securityfocus.com) -- это середина апреля.  Кажется,
критическая проблема (по которой полезла пачка новых червей и
хацкеров) так до сих пор толком и не залечена -- припарка жжет.

Ну и помимо приоретизации не стоит забывать о покрываемой
функциональности -- ведь мини-дистрибутив из (скажем) Linux,
XFree86, KDE в небольшом объеме -- это и будет примерный
эквивалент Windows по покрываемой функциональности, которую бы и
стоило учитывать при сравнении.

А если взять RH или Debian -- так это сравнивать получается на с
голыми форточками, а с *невозможно* навороченной поставкой софта
стоимостью -- на глаз -- в пятизначную сумму: база, вагон
серверов (самое уязвимое место, кстати -- их-то в базовой
поставке Windows практически и нет!), прочие фишки-плюшки,
которые в bugtraq & co попадают и апдейты по которым выпускаются,
но скорее для порядку, чем в силу действительно большой
проблемности.  Типично -- излечение получения gid games, например
:-)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/