Full Disclosure - Vollständige Offenlegung
Das es trotzdem nicht mit rechten Dingen zugehen kann, liegt da wohl auf der Hand, oder?
Laut Forrester wies Microsoft die niedrigste Zeitspanne zwischen Bekannt werden der Schwachstelle und der Bereitstellung eines Software-Patches zur Behebung des Fehler auf. Forrester kam zu dem Ergebnis, dass Microsoft für alle 128 veröffentlichten Sicherheitsfehler in Windows über den 12-monatigen Zeitraum, der der Studie zugrunde lag, Sicherheits-Updates zur Verfügung stellte und dass die Sicherheitsupdates durchschnittlich 305 Tage vor größeren Gefahrenausbrüchen bereit standen.
Die Betonung liegt hier jeweils auf den Wörtern „bekannt” und „veröfentlichten Sicherheitsfehler”. Wieviele Fehler im Windows-Code gibt es, die MS nie offiziell bekannt gibt und daher nicht in der Statistik auftauchen? Sicherlich einige. Wenn man dann auch noch mit einbezieht, dass Publikation der Sicherheitsschwachstelle mit der Verfügbarkeit eines Patches einhergeht …..
Und 305 Tage zwischen Publikation und Exploit? Das muss eine Studie aus dem letzten Jahrhundert sein. Die Presseaussendungen, die ich in der letzten Zeit gesehen habe, weisen darauf hin, dass dieser Abstand zusehends schrumpft.
Und dann gibt es ja auch noch die Diskussion, dass nicht jeder Bug gleich ist: The figures Forrester uses for „all days of risk” are arrived at by averaging the number of days needed to fix a flaw, without distinguishing between critical flaws and harmless ones. Thus, if a vendor took six months to patch a low-risk bug, it would make them appear to have a slow security response time overall, even if all critical bugs had been fixed instantly.
Forrester questions Linux security
Using Microsoft’s own definition of a critical flaw as a bug which could allow a worm to propagate without user interaction, only 13 Red Hat vulnerabilities were critical during the one-year time period, and they took an average of just over a day to fix, Red Hat security response team lead Mark Cox said. „If you add denial of service attacks and privilege escalations, there were 47 issues in total, which took seven days on average to fix,” he added.
Laut Statistiken auf Secunia, einer Webseite rund um das Thema Sicherheit, wurden für Red Hat Enterprise Linux 3 im Durchschnitt 7,4 Sicherheitsmeldungen pro Monat eingestellt, für Windows Server 2003 1,7 Sicherheitsmeldungen.
Wurde da auch berücksichtigt, dass eine Sicherheitsmeldung von MS mehrere Sicherheitslücken beschreibt?
Wie die Yankee Group in der Studie Linux, UNIX and Windows TCO Comparison feststellt, sind „Linux-spezifische Würmer und Viren genauso schädlich wie die Pendants, die in UNIX und Windows auftreten - und in vielen Fällen sogar noch heimtückischer.”
Eine Kugel aus einer 45er Magnum ist genauso schädlich wie die aus einer Kalashnikov.
Wenn heute ein Volumenlizenz-Kunde - unabhängig davon, ob er fünf oder mehrere tausend Computer im Einsatz hat - ein Microsoft Produkt lizenziert, stellen wir ihn - ohne Haftungsobergrenze - von den Kosten frei, die mit einer Klage wegen einer angeblichen Verletzung eines Patents, Urheberrechts, einer Marke oder Geschäftsgeheimnisses durch ein Microsoft Produkt in Verbindung stehen.
Und die Endkunden, KMUs und andere Kunden ohne Volumenlizenz stehen im Patentregen? Das kanns aber auch nicht ganz sein.
Und wer macht denn eigentlich die Panik, wer denn die Trivial-Lizenzen auf SW? Zufällig ein Konzern aus Redmond. Schön sieht man das etwa in der Sender-ID FAQ: Microsoft sees Intellectual Property as an essential element of modern business development, and licensing of technology is a cornerstone to maintaining a healthy cycle of innovation in the IT industry. As such, Microsoft invests substantially in R&D, and like most enterprises who make significant investment in research and development, Microsoft routinely patents inventions arising from its R&D efforts.
Sender ID Framework and Intellectual Property Overview and FAQ
Dieses [Microsoft-]Team hat mit einer Reihe von führenden Analysten zusammen gearbeitet, die unabhängige Berichte über Anschaffungskosten, Gesamtbetriebskosten (Total Cost of Ownership, TCO), Sicherheit und Haftungsfreistellungen erstellten. Einige Studien wurden von Microsoft in Auftrag gegeben, andere wurden von den Analysten durchgeführt und finanziert.
Traue keiner Statistik …..
Hinzu kommt auch noch, dass die gute, alte Forrester recht fest bei den Studien am werken war und diese Firma mit Microsoft historisch recht enge Bande hat und sich schon einge Fehltritte leistete.
Das ganze Executive Mail von Onkel Fester gibt es auf den MS-Seiten im Pressebereich.
Mittlerweile hat Novell eine schöne Antwort zu diesem Brief zusammengestellt: Novell’s Response - Steve Ballmer’s letter to customers on Linux.
Die Meldung finden Sie im Original unter http://www.cargal.org/drupal/node.php?id=561
Tagged as: mITtendrin | Author: Martin Leyrer
[Dienstag, 20041109, 13:14 | permanent link | 0 Kommentar(e)
Comments are closed for this story.