Archivio » 2004 » aprile » mercoledì 7 »

Forrester studia le vulnerabilità di Linux, ma è polemica

Scritto da Roberto Carminati

Una ricerca a cura della nota società di analisi del mercato mette a confronto Microsoft con una manciata di distributori open source sul terreno della prontezza nella realizzazione delle patch. I risultati sono chiari, le controversie sono di tipo metodologico

Rischi di nuove scintille fra Microsoft e alcuni fra i nomi di spicco dell’open source. Il casus belli lo offre Forrester Research. Già sul finire dello scorso anno la società di Cambridge nel Massachusetts si era vista costretta a diffidare i suoi clienti dall’uso dei dati di mercato a scopi pubblicitari. L’occasione fu la pubblicazione di uno studio in cui si notava come in taluni casi lo sviluppo in ambienti Windows garantisse risparmi maggiori rispetto ai Pinguini: una chance per promuovere le proprie delikatessen che Redmond non si fece sfuggire.
Forrester torna oggi sul terreno minato per studiare la capacità di reazione e i tempi di risposta alle vulnerabilità delle contendenti. Sfatando in parte alcuni luoghi comuni. Per gli analisti i sistemi Linux non sono da considerarsi necessariamente più sicuri delle Finestre di Gates, perché i distributori del Pinguino sono più lenti nell’applicare le dovute toppe ai propri buchi. Fra il giugno del 2002 e il 31 maggio del 2003 il tempo medio trascorso fra la scoperta di un errore e la conseguente uscita delle patch era, nel caso del produttore, pari a 25 giorni. Contro i 57 di Red Hat e Debian, i 74 di Novell/Suse; gli 82 di Mandrake Soft.

Pinguini, affari e alleanze

» tutto su Linux

Il rovescio della medaglia sta nella complessiva pericolosità delle crepe cui si è dovuto porre rimedio. Il 67% di quelle scovate nell’Os Microsoft era stato bollato come “critical” nel catalogo delle vulnerabilità pericolose del progetto Icat, curato dall’Istituto nazionale statunitense per gli standard e le tecnologie. La stessa etichetta riguardava invece “solo” il 63% delle debolezze Suse, il 60 di quelle verificatesi nelle uscite Mandrake Soft, il 57 e il 56% rispettivi per Debian e Red Hat. Un’altra porzione dell’inchiesta Forrester si concentra sul tempo intercorrente fra il rilascio di una patch per un particolare componente del sistema a sorgente aperto e la sua diffusione su larga scala da parte di un distributore. Prima in graduatoria è risultata Debian (32 giorni); Mandrake Soft la peggiore con i suoi 56.
Le ragioni per cui qualcuno fra gli aficionado di Linux ha voluto criticare il report vanno ricercate soprattutto nel primo dato sulla distanza temporale fra l’individuazione del baco e l’elaborazione di un rimedio ad hoc. Perché c’è baco e baco, ha sostanzialmente detto il responsabile della sicurezza di Red Hat Mark Cox, e i dati Forrester hanno il torto di mescolare ciò che è veramente critico con quel che non lo è. Puntando così l’indice su chi magari impiega molto tempo a risolvere problemi di scarsa o irrilevante entità pur avendo magari fatto fronte rapidamente a quelli più urgenti. Sempre secondo il responsabile le brecce critiche nei sistemi Linux non sono state più di 13 in un anno, e sono state riparate con prontezza: la media è di un solo giorno.