Red Hat ontstemd over 'vulnerabilitylijst' CERT

Red Hat heeft kritiek geuit op een overzicht van de US-CERT waarin wordt gemeld welke fouten in besturingssystemen de organisatie het afgelopen jaar heeft gemeld. Het overzicht, genaamd 'Cyber Security Bulletin 2005 Summary - 2005 Year-End Index' verdeelt de bugs in software in drie categorieën, namelijk fouten die betrekking hebben op Linux en Unix, fouten die betrekking hebben op Windows en fouten die meerdere besturingssystemen treffen. In totaal heeft het US-CERT 5198 meldingen gemaakt van fouten, waarvan er 812 betrekking hadden op Windows, 2328 op Linux/Unix-systemen en 2058 fouten zogenaamde 'multiple operating systems vulnerabilities' zijn.

US-CERT Logo Volgens Red Hat klopt het overzicht echter niet, omdat de fouten niet goed zijn ingedeeld. Zo staat Firefox in het overzicht onder Unix/Linux, terwijl deze browser ook perfect onder Windows functioneert. Hetzelfde geldt voor de softwarepakketten Apache en PHP, zo stelt Red Hat. Naast Red Hat hebben ook de securitybedrijven Secunia en Common Vulnerabilities and Exposures, een organisatie die een vulnerability-database bijhoudt, zich achter de kritiek van Red Hat geschaard. Volgens de organisaties geven dergelijke lijsten een onjuist beeld van de veiligheid van de betreffende besturingssystemen. Naast het aantal fouten is namelijk ook het type van de fout, de ernst van de fout en de snelheid waarmee de fout wordt opgelost van belang. Deze gegevens zijn niet terug te zien in de cijfers die in het US-CERT-rapport worden genoemd.

Lees meer

Reacties (66)

Verwijderd 6 januari 2006 21:40

Vergelijkingen van het aantal bugs in Windows en in een Linux distributie zijn bijna altijd volslagen onzinnig, omdat:

1. Een Linux distributie wordt typisch geleverd met honderden, zo niet duizenden softwarepakketten, meerdere browsers, vele server applicaties, etc. Dat zo'n distributie slechts 4 maal zoveel fouten bevat is eerder indrukwekkend dan zorgwekkend.

2. Windows is een vreemde eend in computerland. Het onderscheid tussen OS en applicaties is vaak erg moeilijk te maken.

3. Niemand weet hoeveel fouten binnen Microsoft bekend zijn en netjes liggen te wachten op de volgende Service Pack. Deze bugs worden niet meegeteld. Een Linux distributie is open source. De code wordt door heel veel mensen gezien. Elke afzonderlijke fout wordt in alle openbaarheid behandeld en gefixt, en tellen allemaal mee in de statistieken.

Totaal waardeloos dus, deze vergelijkingen.

Verwijderd @Verwijderd • 6 januari 2006 21:51

Misschien is het handig om eerst eens op de lijst te kijken voordat je allerlei aannames maakt.

1) Het gaat niet om de meegeleverde applicaties. Alle applicaties op het platform zijn meegenomen.
2) Het gaat niet enkel om fouten in het OS. Het gaat om alle fouten op het platform.
3) Niemand weet hoeveel fouten er bij Novell of Red Hat bekend zijn. Het gaat hier dan ook enkel over gepubliseerde fouten. En MS geeft vrij goed aan waar de maandelijkse patches voor dienen.

Oftewel, totaal waardeloos dus, jou analyse

Eens zien hoe snel dit weer weggemoffeld zal zijn
Edit: Niet lang dus. Nee. Geen kwaad wordt op tweakers over Linux.

Verwijderd @Verwijderd • 6 januari 2006 23:06

1. Je hebt gelijk. Toch vraag ik me af hoe men beslist of een bepaald programmaatje op de lijst komt of niet. Er zijn duizend maal meer applicaties op het Windows platform dan op het Linux platform, en ik geloof nooit dat die stuk voor stuk zo geperfectioneerd zijn dat ze samen minder bugs leveren dan de Linux applicaties.

2. Dat maakt de methode om iets te zeggen over de veiligheid van een platform als geheel alleen maar meer ondoordacht. Je kan dan beter kijken naar welk platform het meest geliefd is bij hackers. Fouten die toch nooit tot zijn geexploiteerd zijn moet je dan dus niet meerekenen.

3. Hoe belangrijk Red Hat zichzelf ook vindt, elke Linux distributie wordt door de vrije software gemeenschap ontwikkeld en elke regel code die veranderd wordt is openbaar. Red Hat sleutelt zelf natuurlijk ook aan Linux, maar dat is slechts een klein deel van het plaatje. En natuurlijk kan Red Hat ook fouten in hun eigen werkstukjes geheim houden, maar daar gaan de statistieken echt niet van veranderen.

Parasietje @Verwijderd • 7 januari 2006 11:59

Dit kan misschien wel blijven doorgaan, maar hier zijn ook mijn 2 cents.

Reactie op elke alinea:
1) Het is jammer dat je Diks reactie afdoet als persoonlijke voorkeur en Pietjes als feiten. Punt 3 van Pietje is ronduit onjuist.

2) Ik denk dat er meer lekken voor linux boven water komen. Daar wordt de broncode namelijk gecontroleerd en hercontroleerd. Er komen minstens evenveel lekken voor het GNU/Linux platform boven water, maar er worden er niet zoveel ge-exploiteerd!

3) Zeg nu zelf, hoeveel lekken in firefox waren linux-only? Of in OpenOffice? Ik denk dat er de laatste tijd meer lekken zijn geweest in de Microsoft rendering library's, waardoor firefox enkel in Windows vulnerable was, dan omgekeerd...
En de hoeveelheid software die met een installatie meegeleverd wordt, is in GNU/Linux net GROTER. Wat dus ook gezegd wordt op groklaw.

4) Hoe dan? Vind jij als thuisgebruiker een lek in je OS?
Het aantal gebruikers van een OS is van invloed op de kracht waarmee lekken gezocht worden, daar geef ik je gelijk in. Maar in GNU/Linux worden veel sneller lekken gevonden (omdat het open-source is) dan onder windows, dus of dat nu in het voordeel van windows spreekt...?

5) "In elk opzicht"? De broncode van open-source programma's wordt vele malen overlezen door veel verschillende mensen. De broncode van windows-programma's wordt enkel door een selecte groep mensen gelezen. Die groep mensen zegt, als ze een bug vinden: "We maken het niet openbaar en patchen hem niet. Zo is er geen kwetsbare tijd tussen uitbrengen van een patch en exploitatie van een patch. Black hat hackers zullen dit lek toch nooit vinden."
Het gebruik van een programma zal er niet voor zorgen dat je plots een lek vindt en rapporteert. Lekken vinden gebeurt doordat mensen er actief naar op zoek gaan, en dat lukt nu eenmaal beter met source code dan zonder.
Ik denk dus dat Opensource software meer op de proef gesteld wordt. De broncode wordt EN machinaal EN door mensen met verschillende intenties gescanned op fouten, voortdurend.

Verwijderd @Verwijderd • 7 januari 2006 12:18

ga toch eens lezen man, ik deed diks reactie niet af als persoonlijke voorkeur maar de conclusie van puk dat er hier geen kwaad woord gezegt mag worden over linux, daar ben jij ook een voorbeeld van, en dat er dan gelijk gemod wordt, troll zegt alles op gewoon een normale reactie

wat ik zeg klopt, is gewoon statistische kansberekening, in een auto waar 10 miljoen mensen in rijden zullen eerder bugs gevonden worden dan een auto waar er 1000 in rijden

Verwijderd @Verwijderd • 7 januari 2006 12:43

zo beter ?

Verwijderd @Verwijderd • 7 januari 2006 00:33

pietje heeft ook gelijk en helemaal met zijn edit en dat is is jammer, zou om feiten moeten gaan in plaats van een persoonlijke voorkeur

verder worden de meeste virussen en hacks voor windows geschreven, daardoor komen veel meer lekken boven water

ook de hoeveelheid software brengt lekken aan het licht, firefox kan bijvoorbeeld een lek in linux openbaren die in windows niet zit en omkeerd

ook het aantal gebruikers van een os is van invloed op het vinden van lekken

in elk opzicht wordt windows dus veel meer op de proef gesteld

mashell @Verwijderd • 7 januari 2006 12:38

Het niet gebruiken van hoofdletters wekt een suggestie van bescheidenheid. Maar met teksten als "alles wat ik zeg klopt" val je dan toch redelijk door de mand!

Verwijderd @Verwijderd • 7 januari 2006 13:06

1 - al beantwoordt

2 - controlleren en hercontrolleren doen ze natuurlijk niet bij microsoft, ik ga er van uit dat beide hun best doen om een zo goed mogelijk systeem neer te zetten

3 - geen idee en ik had het niet over meegeleverde software maar over software dat op een systeem draait

4 - de meeste thuisgebruikers zullen dat niet vinden maar een bedrijf als bijvoorbeeld mcafee, etc. loopt daar wel tegen aan en je hebt ook nog de ms foutrapportage

5 - ik heb liever dat ze lekken oplossen die nu voor problemen zorgen dan iets wat mogelijk nooit door hackers gevonden wordt en bij ms is er ook een heel team op zoek naar lekken

Superstoned @Verwijderd • 8 januari 2006 00:26

1) Het gaat niet om de meegeleverde applicaties. Alle applicaties op het platform zijn meegenomen.
2) Het gaat niet enkel om fouten in het OS. Het gaat om alle fouten op het platform.

superstom. een platform met mee apps heeft dus meer bugs... ???

3) Niemand weet hoeveel fouten er bij Novell of Red Hat bekend zijn. Het gaat hier dan ook enkel over gepubliceerde fouten. En MS geeft vrij goed aan waar de maandelijkse patches voor dienen.

Red Hat en Novell leveren Open Source software. bugs worden zelden door hen gevonden, en if so, meestal up-stream gemeld. ze houden niets geheim, die strategie heeft alleen zin voor een bedrijf als microsoft: security through obscurity.

Nog afgezien van al het dubbel (en meer) tellen van zooi op de lijst is het onzinnig om alle software mee te rekenen, en de plaatsing van software op een platform lijkt ook vrij willekeurig (firefox voor linux, OpenOffice multiplatform?!?! WTF???). daarbij houden ze geen rekening met de ernst van fouten, en gooien ze ook nog eens alle niet-windows systemen op 1 hoop - sinds wanneer is een fout in de grafische netwerk applet van Mac OS X gevaarlijk voor linux?!?!? Red Hat heeft groot gelijk dat ze er niet blij mee zijn...

mOrPhie 6 januari 2006 23:22

Wat ik veel belangrijker vind is dat het hier om known bugs gaat. Dit betekent dat dit om bugs of issues gaat, die gevonden zijn. Met andere woorden, hoe minder bugs je vind, hoe veiliger een systeem? In dat geval moeten we voor linux dus stoppen met zoeken, want daar wordt het een stuk veiliger van, zo redeneren sommigen.

Echter, de realiteit is dat het aantal gevonden bugs niet van belang is. Belangrijker is: De impact, is het opgelost?, zo ja: hoe snel?, zijn veel andere programma's afhankelijk van de bug?... dat soort zaken. Een lijst met aantallen is een lijst die helemaal niets zegt. Maar dan werkelijk ook niets.

Parasietje @mOrPhie • 7 januari 2006 12:04

Inderdaad. Ik heb ooit een betoog gelezen om bugs niet te publiceren.
Want als je als commercieel bedrijf een patch released, dan is er een tijd tussen release en het patchen van een willekeurig systeem.
Echter, met een release van een patch weten alle Black Hats het lek, en begint dus de exploitatie, sneller dan dat een systeem gepatched wordt.
Daarom: als een lek weinig kans heeft om gevonden te worden in de assembly code: niet vrijgeven.

Daarom dat er dus procentueel ook veel en veel meer lekken openbaar gemaakt worden voor GNU/Linux dan voor Windows.

Verwijderd 6 januari 2006 21:26

Bij unix/linux zit sowieso meer software, dus is het logisch dat er meer fouten gevonden worden. Ik vind het wel verbazingwekkend dat er zoveel fouten 'multiple operating systems vulnerabilities' zijn, zeker als software als firefox en apache daar blijkbaar niet toe worden gerekend. Wat moet ik me bij zulke fouten dan voorstellen?

n4m3l355 @Verwijderd • 7 januari 2006 00:02

wat ik niet snap, een tijdje terug had men in de vista beta 8000+ bugs gevonden? het is misschien een beta maar wat is het onderscheid tussen final/beta bij windows? behalve dat je voor de final moet betalen het is nog steeds in ontwikkeling. deze 8000 bugs zie ik dus niet vermeld bij CERT. als men een onderscheid hierin treft zou men ook bv de debian 'beta' releases moeten negeren en idem voor al het andere software dan blijft er toch maar heel weinig eigenlijk over.

catfish @n4m3l355 • 7 januari 2006 00:12

ik veronderstel dat er minstens 1 publieke release moet zijn die "stable" moet zijn
beta-software moet eigenlijk fouten bevatten, anders is dit stadium vrij nutteloos

defusion @catfish • 7 januari 2006 01:37

Nee, beta is gewoon om te testen of er nog fouten inzitten die de ontwikkelaars niet hadden voorzien.
als dat niet het geval is, is dat natuurlijk geweldig. maar die laatste "test" is zeker niet nutteloos

LollieStick @catfish • 7 januari 2006 05:19

@defusion:
Noemt men dat niet Release Candidates (RC's)?

arjankoole @catfish • 7 januari 2006 13:11

het verschil tussen beta en RC lijkt klein, maar is dat vaak niet.

een beta versie is inderdaad een versie waarbij men er vanuit gaat dat er nog fouten aanwezig zijn. Door wijd te verspreiden kan me inzicht krijgen hoe de software functioneerd binnen diverse productie-like omgevingen (weinig zullen zo gek zijn om een beta of rc in productie te nemen). Hieruit komen bug-reports die zullen leiden tot de RC's, de versies die men geschikt acht voor productie werk, maar dit wil de maker (in dit geval Microsoft) toch verifieren.

Uiteindelijkt word een bepaalde RC 'gepromoveerd' tot release versie, de versienummers worden aangepast om dit te reflecteren. presto.

Zo'n beetje iedere software maker hanteerd zo'n structuur, of het nu Microsoft betreft of een opensource project als FreeBSD. (om maar even grote operating systems te noemen).

Verwijderd @Verwijderd • 6 januari 2006 21:39

Dat is een slechte aanname.
Een standard NetBSD komt helemaal niet met zo veel software.
En dan nog, alleen maar omdat er meer software aangeboden word in de installatie lijst betekend dat niet dat het standard geinstalleerd wordt.

Verwijderd @Verwijderd • 6 januari 2006 21:46

En tot slot. Voor windows is een hoop software verkrijgbaar. Hier gaat het niet alleen over fouten in de meegeleverde software, maar over alle gevonden veiligheidsproblemen in alle software. Desnoods die in Photoshop.

Avenger 2.0 6 januari 2006 21:19

Met statistieken kan alles naar de hand gedraaid worden. Zou me ook niet verwonderen moest MS dit stilletjes gesponserd hebben.

jiriw @Avenger 2.0 • 6 januari 2006 21:37

Het is zelfs nog erger dan dat ... In de Unix/Linux lijst staan veel vulnerabilities die dubbel in de lijst voorkomen, zelfs tot 5 keer! (En dan gaat het dus om precies dezelfde vulnerability, hij is echter 5 keer bij de organisatie 'aangemeld' en dus 5 keer opgenomen. Lees hiervoor http://www.groklaw.net/article.php?story=20051231142317870 maar eens door)
Ja, zo kan ik ook wel een lijst maken. Laten we dat WMF gat ook even 30 keer aanmelden want het is er schadelijk genoeg voor

burne @jiriw • 7 januari 2006 02:10

ook even 30 keer aanmelden

Even kijken of ik ze nog weet. Het lek zit er sinds 1988 in, dus:

Windows 2.11, Windows/286, Windows/386, 3.0, 3,1, 3,11, '95, '98, ME. XP home, Windows AS, NT3.1, NT.3.50, NT3.51, NT4, 2000, XP, 2003, en de laatste paar allemaal apart voor professional, advanced server, datacenter en andere varianten. En dan vast de embedded varianten ook nog.

d-snp @burne • 7 januari 2006 02:30

wat dacht je van de windows CE versies? en de Windows Mobile varianten?

Zover ik weet draait er een verschillende versie op ieder windows CE apparaat

]Byte[ @burne • 7 januari 2006 11:45

Je ben Windows 3.11 for Workgroups vergeten

Olaf van der Spek @burne • 7 januari 2006 16:25

3,11 staat er toch tussen?
Er is geen aparte for Workgroups versie.

TheCapK @Avenger 2.0 • 6 januari 2006 21:25

Ik wou geen namen noemen maar dacht ook dat er ergens enigzins gelobby'd was om deze resultaten zo naar buiten te brengen!

Vooral gezien het feit dat de ernst van de diverse fouten niet vermeld wordt terwijl dat wel degelijk meetelt doet dit vermoeden dat er ergens iemand dit georkestreerd heeft!

Persoonlijk vindt ik 10 fouten waardoor mijn systeem overgenomen kan worden of het kan begeven veel erger dan 1000 fouten waardoor ik bv mijn winamp iedere keer dat ik een nieuwe MP3 af wil spelen opnieuw moet afsluiten en openen. Dat is lastig maar niet levensbedreigend!

Roeltjuh @TheCapK • 6 januari 2006 21:58

De mogelijkheid tot het overnemen van je computer vind ik ook niet bepaald "levensbedreigend".

benoni @Roeltjuh • 7 januari 2006 01:03

'Met systeembeheer, zegt u het maar...'
'Met Rineke van IC4.... mijn computer opent vanzelf patiëntendossiers en ik zie ook telkens opdrachtformulieren van de ziekenhuisapotheek voorbijkomen, is dat normaal?'

sjhgvr @Avenger 2.0 • 6 januari 2006 21:22

En daarmee zelf toegeven hoe traag ze zijn met patchen?
Denk t niet.

PuzzleSolver @sjhgvr • 7 januari 2006 14:12

Naast het aantal fouten is namelijk ook het type van de fout, de ernst van de fout en de snelheid waarmee de fout wordt opgelost van belang. Deze gegevens zijn niet terug te zien in de cijfers die in het US-CERT-rapport worden genoemd.

Dat stond dus niet in dit rapport vandaar de hint dat MS dit geponserd zou kunnen hebben.

Joghert 6 januari 2006 21:27

Goed punt, ze zouden eigelijk 2 losse lijsten moeten maken, een betreffende ossen en een betreffende software.

Jesse @Joghert • 7 januari 2006 00:25

U mag de scheidslijn trekken. Wat hoort er bij het OS en wat niet?

Als je het weet mag je het zeggen. $_/-\o_$

LauPro @Jesse • 7 januari 2006 00:44

Dat is naar mijn idee heel eenvoudig. Als ik even GNU Linux als platform pak:
- Linux is de kernel
- GNU Utils zorgen ervoor dat je kan booten en gebruik kan maken van de software
- Aanvullende tools/libraries die noodzakelijk zijn voor de werking van de kernel/os. Dit kan zijn LVM voor het inscannen van volumes, of ReiserFSTools om een bestandssysteem te controlleren.

De rest (hele mikmak, GCC, X.org, KDE, en nog alle duizenden userspace progs/apps) heeft niets met het OS te maken.

Linux komt als distributie en niet als besturingssysteem. Hetzelfde geldt min of meer voor de *BSD dingen, daar heb je een standaard platform (BSD-kernel en *BSD platform) en een stuk of wat userspace tools om ermee kunnen werken.

Zo heeft ook Windows heeft een kernel, en standaard een aantal programma's om ermee te kunnen werken (explorer, notepad etc).

edit: wow mijn 1000ste post op de frontpage

PiotrP @LauPro • 7 januari 2006 18:34

Als de x-server (linux/unix) userspace is hoe wil je dat dan onder windows zien? Volgens mij zit dat onderdeel bij windows in de kernel verweeft en kan je niet zonder.

Dan zou het grafische deel wel windows zijn en x-server niet linux omdat je bij linux ook zonder kan.

hamsteg @LauPro • 9 januari 2006 10:02

Laat Bill nu net bezig zijn de grafische schil te scheiden van de echte kernel ! Ze groeien steeds meer naar Linux/Unix to

Ik vind het ook vreemd dat je applicaties als operating specifieke errors aanduidt ... het ruikt wel naar een gekleurd plaatje ...

Daimanta @Joghert • 6 januari 2006 21:33

Pas maar op, dat zou te logisch zijn om te doen. Daar moet je bij hen niet mee aankomen

constantino 6 januari 2006 21:37

En euh zijn dat de mensen die de US gaan beschermen van terroristische aanvallen via het internet?

three2five @constantino • 7 januari 2006 02:20

Tsja, ze zijn blijkbaar niet zo goed hierin... Maar fundraising daarentegen...

Joghert 6 januari 2006 21:24

Het is toch nog duidelijk dat de wereld nog een beetje denkt in termen van "MS Windows" of "anderen" terwijl er veel meer onderscheid te maken is.

En daar komt ook nog bij dat het ene os geschikter is voor een bepaald doel dan het andere.

Stewie! @Joghert • 7 januari 2006 01:11

Zal wel komen omdat Windows XP dezelfde codebase als Windows 2000 heeft en precies zo Red Hat linux dezelfde codebase gebruikt + standaard packages als SuSE linux

marcieking

6 januari 2006 21:25

Ik vraag me ook af waarom een organisatie dat zou doen? Je maakt jezelf toch compleet belachelijk door fouten in een applicatie, multiplatform of niet, te bestempelen als een fout in een OS? Ok, als het een applicatie betreft die extreem nodig is en zelfs in de kaalste installatie aanwezig is (dingen die nodig zijn voor het mounten van partities e.d.) dan kan ik het begrijpen, dat is in feite deel van het OS, maar Apache is een webserver, en dat is toch helemaal geen lek in Linux?

Verwijderd @marcieking • 6 januari 2006 21:43

Ze bestempelen de fout niet als een fout in het os maar als een fout op een platform. Een Windows gebruiker krijgt te maken met bepaalde fouten een Linux gebruiker met andere. Nu werkt Apache wel op windows maar het overgrote deel van de apachesoftware draait op linux/Unix servers. Op windows is IIS "normaal" Firefox is meer een twijfelgeval. Ook Windows gebruikers, gebruiken vaak firefox. Dus zelf zie ik dat meer als multiplatform.

Fouten in Apache treffen dus Linux/Unix users. Zo moeilijk lijkt mij dat niet te begrijpen.

Red Hat heeft wel meer boos gereageerd nadat er slechte getallen mbt de veiligheid van Linux naar boven kwamen. Maar in ieder geval lijkt het mij sterk dat ze CERT van MS sympathie kunnen beschuldigen. Op hoofdlijnen zullen deze cijfers dan ook gewoon kloppen. Jammer voor Red Hat

CARman @Verwijderd • 7 januari 2006 02:10

Apache draaid ook uitstekend op eender welke dichtgetimmerde Windhoos machine en is A: Gratis en B : Vele malen geschikter voor het doel dan IIS

De bullshit om dan Apache vaunerabilities maar onder UNIX/Linux te parkeren is net zo dom als twijfelachtig. Het zelfde geldt uiteraard ook voor FireFox. Om de fout maar toe te kennen aan het OS waaronder de applicatie meer gebruikt wordt is nogal stompzinnig.

Wat mij nog sterker verbaast is dat de buglist van MS vele duizenden items bevat, die wel bekend zijn, maar hier gewoon niet geteld worden. In het Engels noemen ze dat 'conveniant' geloof ik. Riekt naar een sterk pro MS verhaaltje van CERT, die imo hier hun eigen geloofwaardigheid nogal onderuit halen.

edit:
Windhoos was hier gekscherend bedoeld, wij draaien enkele honderden websites tot volle tevredenheid onder Apache op Windows machines.

arjankoole @CARman • 7 januari 2006 11:11

Toegegeven is dat apache prima draait op Windows (niet windhoos, het tijdperk dat we ongenadig en ongenuanceerd M$ en Windhoos mochten gebruiken is nu echt wel een paar jaar voorbij

)

Maar je moet toch toegeven dat het absoluut niet algemeen goed is dat men een dure windows server licentie koopt, en vervolgens geen gebruikt maakt van IIS. Voor een hoop specifieke doeleinden werkt IIS prima als webserver, hoewel het ook niet bepaald mijn keuze zou zijn voor webservers. Het is meer persoonlijk. Er zijn bedrijven die simpelweg niet aan Apache durven.

psyBSD @Verwijderd • 7 januari 2006 14:03

Je hebt wel gelijk. Maar het is ronduit belachelijk dat het NT platform. Wordt vergeleken met Linux, BSD, Solaris en Darwin samen.

Als je daar dan ook nog bij optelt dat het aantal software-pakketten waar ook daadwerkelijk bug-reports voor worden vrijgegeven per platform windows / *nix ongeveer 1-10 (0/00?)is. (Ik zie geen vulns voor Exact globe, om maar een zijstraat te noemen)

Als je een vergelijking per platform doet, doe het dan ook per platform. En niet zo...

Quacka @Verwijderd • 6 januari 2006 22:22

wat heeft linux te maken met een progje voor linux die niet goed gemaakt is?

McChouffe @Quacka • 6 januari 2006 23:10

Vreemd dat dan fouten in Microsoft Office dan niet worden meegerekend.
OpenOffice.org telt dan weer wel mee als multiplatform.

Edit: dit was een reactie op Pietje Puk.

Edit2: Ik was fout. Microsoft Office staat wel degelijk in de lijst.

Verwijderd @Verwijderd • 7 januari 2006 12:23

Ik heb zojuist mijn swapfile door de MS visual C compiler gehaald en in mijn programma, slechts geschikt voor het Windowsplatform, zitten 18367 bugs. Dus: Windows stijgt met stip...

bytebeast 6 januari 2006 22:49

bugs in OS-distributies worden vrijwel altijd veroorzaakt door:

1) fouten in het OS
2) niet begrijpen van deze fouten door de applicatieprogrammeur
3) fouten in het programma
4) niet beschikbaar stellen van de source van OS en applicaties voor degenen die het onderhouden.

Windows is commercieel en valt daarom onder de verantwoordelijkheid van MS en de programmeurs. Daar betaal je immers voor. Open-source software volgens de GPL zou vallen onder de verantwoordelijkheid van de programmeurs en voor bugs onder de hele gemeenschap.

Het lijkt me moeilijk om een paar miljard regels assembly of andere code door te werken op bugs en lekken zelfs als het open-source is. OS's en programma's zijn dusdanig complex dat daardoor allerlei onvoorziene zaken mee gaan spelen, waar je als ontwikkelaar niet eens opkomt.

Zowel MS als Novell/RedHat valt volgens mij weinig te verwijten, alleen krijg ik uit de media het idee dat allerlei Linux/Unix distributies een stuk veiliger zijn voor het betere internetwerk.

Verwijderd 6 januari 2006 22:49

waarom doen ze deze test niet windows vs openbsd. Als je dan veiligheid gaat vergelijken tussen unix varianten en windows.

Op dit item kan niet meer gereageerd worden.

Red Hat ontstemd over 'vulnerabilitylijst' CERT

Lees meer

Reacties (66)

Sorteer op:

Weergave: