De Linux-distributeurs Debian, Mandrake, Red Hat en Suse hebben in een gezamenlijke verklaring kritisch gereageerd op een rapport van onderzoeksbureau Forrester met de titel "Is Linux more secure than Windows?". In het rapport werd de conclusie getrokken dat alleen Debian en Microsoft redelijk snel reageerden op de ontdekking van veiligheidslekken. Volgens de reactie van de vier Linux-distributeurs is het onderzoek echter van weinig waarde voor de eindgebruiker. Hoewel zij zelf actief meewerkten en probeerden om de onderzoekers van Forrester van correcte gegevens te voorzien, vinden zij dat de uitkomsten verwarrend en twijfelachtig zijn. De vier leggen uit dat bugreports altijd door verschillende teams op hun gevaar worden beoordeeld, waarna ze ingedeeld worden naar prioriteit. Op die manier worden kritieke lekken normaal gesproken binnen enkele uren gedicht, en blijven de minder belangrijke dingen wel eens wat langer liggen. De onderzoekers zouden echter geen rekening hebben gehouden met deze prioriteitslijsten, maar slechts berekend hebben hoe lang alle bugreports over een heel jaar gemiddeld afgewerkt werden.
Door geen onderscheid te maken naar de aard van de lekken, wordt volgens de Linux-distributeurs ten onrechte ook de hoogte van de risico's buiten beschouwing gelaten, terwijl de gebruiker juist daar belang bij heeft. Martin Schulze van het Debian-team ondersteunt deze uitspraken over prioriteiten met cijfers. Een onderzoek uit 2001 wijst uit dat Debian er, gemiddeld over een jaar gemeten, 35 dagen over doet om gemelde veiligheidslekken te dichten. Meer dan de helft van het totaal wordt echter binnen tien dagen behandeld en ongeveer vijftien procent is zelfs dezelfde dag nog verholpen. Bij wijze van uitsmijter stellen de vier bedrijven dat de bewering in het rapport, dat één softwareleverancier gedurende de tijd van het onderzoek honderd procent van de gemelde bugs verhielp, aansporing zou moeten zijn voor een nader onderzoek van de conclusies ervan.