Statystyki CERT krytykowane

Opublikowane niedawno przez CERT statystyki dziur za 2005 rok zostały skrytykowane przez użytkowników otwartych systemów za stronniczy ich zdaniem sposób liczenia błędów.

Sprzeciw użytkowników Linuksa wzbudziło zwłaszcza przedstawione przez CERT porównanie ilości dziur - ponad 2 tys. w systemach Unix/Linux i prawie trzykrotnie mniej w Windows.

Według przedstawicieli Open-Source Development Institute (OSDL) taki wynik w najmniejszym stopniu nie odzwierciedla rzeczywistej liczby błędów w tych grupach systemów i jest wyłącznie rezultatem specyficznego sposobu ich liczenia.

Po pierwsze, zliczana była każda informacja o błędzie, nawet jeśli dotyczyła ona jednej i tej samej dziury naprawionej w kilkunastu różnych dystrybucjach Linuksa. Tak więc jeden błąd naprawiony w dziesięciu dystrybucjach Linuksa był liczony jako... dziesięć dziur.

Po drugie, CERT do "rachunku" systemów uniksowych i Linuksa dopisywał także błędy w niezależnych od systemu aplikacjach, występujących także pod Windows - na przykład dziury w interpreterze PHP. Liczenie ich dla Windows byłoby oczywiście nieuzasadnione ponieważ nie są one standardową częścią systemu, ale dlaczego w takim razie policzono je dla Linuksa? - argumentuje OSDL.

Po trzecie przedstawiciele OSDL uważają za nadużycie zliczanie błędów dla Unix/Linux i Windows. W ten sposób w jednej przegródce umieszczono sumę błędów w kilkunastu systemach uniksowych, a w drugim - jeden Windows.

W komentarzach podkreślono także, że w przypadku Linuksa publikowane jest znacznie więcej informacji o błędach niż w Windows z tego powodu, że środowisko open-source informuje się wzajemnie nawet o trywialnych błędach, nie mających wielkiego wpływu na bezpieczeństwo. W przypadku Windows takie błędy są naprawiane po cichu przy kolejnym Service Pack lub nie naprawiane w ogóle.

Statystyki CERT: http://www.us-cert.gov/cas/bulletins/SB2005.html