Специалист по вопросам безопасности корпорации Microsoft опубликовал материалы, в которых говорится, что спустя 6 месяцев после коммерческого запуска Windows Vista, его компания оставила больше неисправленных багов, чем это было с Windows XP.
В целом, по прошествии шести месяцев после первого запуска в конце ноября 2006 года, Microsoft исправила 12 из 27 выявленных в Vista уязвимых мест. При запуске XP и его шестимесячной работы, группа безопасности Microsoft ликвидировала 36 из 39 известных багов.
Сведения опубликовал Jeff Jones (Джефф Джонс), руководитель отдела развития стратегии безопасности Microsoft. Он заявил, что в целом Vista работала лучше, чем XP. "Шесть месяцев Windows Vista продолжает демонстрировать тенденцию к снижению количества обычных и опасных уязвимостей, когда мы сопоставляем ее работу с работой предшественницей Windows XP," – написал он.
Jones не указал то, что неликвидированных уязвимостей было больше, но подчеркнул, что большинство устраненных в Vista багов не носили критического характера. По прошествии шести месяцев работы XP, оставалось два не устраненных бага, представлявших собой большую угрозу.
Microsoft устранила 23 весьма опасных XP-бага за первые шесть месяцев работы ОС, и это сопоставляется только с одной угрожающей брешью, имеющейся в Vista.
Jones аргументирует, что Vista имела меньшее количество уязвимостей, чем конкурирующие продукты других ОС, в частности, Red Hat Enterprise Linux и Mac OS X, сообщает ComputerWorld.com.
Он опубликовал материалы, стараясь показать при этом, как методика развития программного обеспечения Microsoft, названная Security Development Lifecycle (SDL – жизненный цикл развития безопасности), приносит свои плоды. Но его методика сопоставления Windows с Linux и Mac OS X несколько проблематична.
"Сравнивается божий дар с яичницей", – заявил HD Moore, один из хакеров, на страничке популярного тестового инструмента проникновения Metasploit. – "Если хотите получить более четкую картинку, попробуйте сопоставить количество брешей у программного обеспечения Microsoft и программным обеспечением разработчика X. Большинство разработчиков Linux обычно не указывают большую часть включенных программных пакетов", – сказал он в своем электронном письме.
"В качестве альтернативы можно заставить Microsoft включить все уязвимые места в стандартное программное обеспечение третьих сторон", – добавил он. – "К примеру, тысячи используемых ActiveX контролей, которые… разработчики включают систему Windows".
По информации Randy Abrams, руководителя отдела технического обучения компании Eset LLC (разработка антивирусных программ), было бы более интересно взглянуть на статистику уязвимых мест, как только Vista станет более популярной, чем XP, и будет служить приманкой для хакеров.
Но он добавил, что Microsoft сделала шаг вперед в практике разработки безопасности. "Считаю, что их инициатива с созданием Security Development Lifecycle (жизненного цикла развития безопасности) повысило качество кода", – заявил он.