微软可信赖安全工作组的安全战略主管Jeff Jones在其 博客 中发布了一个研究报告,题目为“Windows Vista六个月安全缺陷报告”,这个报告总结了六个月以来全部的修补和未修补的Vista安全漏洞,并与Linux、OpenOffice和其他应用程序进行了比较。
Jones在博客中写到,“分析结果显示,与微软的XP和其他操作系统相比,在Vista发布六个月后的时间中,无论是在安全漏洞的总数,还是在高危漏洞的数量上,Vista都要少很多,这是因为Vista受益于微软的SDL过程。”
Jones所说的“SDL”是指微软的安全开发生命周期,微软利用这个软件开发过程来创建可以防止恶意攻击的软件。
在Vista上市的六个月中,微软发布了四个安全更新,修补了共12个安全漏洞。在美国漏洞数据库中,NIST将其中10个安全漏洞评定为高风险,1个为中等风险,1个为低风险。
图1、发现漏洞数
在Vista上市的六个月中,也有漏洞被发现而至今微软尚未修补,但是其中只有一个被NIST评定为高风险。
图2、未被修补漏洞
与XP相比,Vista的第一个六个月表现如何呢?当XP被发布的时候,已经有三个 IE 安全漏洞,在向市场分发之前三个星期,它们已经被发现和修补。因此新用户需要立即安装一个补丁来解决这个问题。
此外,在XP上市的六个月中,微软共修补了36个安全漏洞。NIST将其中23个评定为高风险。在六个月结束后,有三个被发现的安全漏洞未被修复,其中有两个被评定为高风险。
与它的先行者相比,Vista看上去要表现的更好一些,在其最初的六个月中,只发现了三分之一的安全漏洞,在六个月后只有一个高危风险没有被解决。
除了把Vista与XP相比外,Jones还将其与其他开源竞争对手进行了对比。当前 下载 最多的Linux操作系统Red Hat企业版4在上市的前六个月中,被人们公开发现的安全Bug共129个,其中四十个被评定为高风险。 红帽 在上市的六个月中共修补了281个安全漏洞。从数字上来说,Jones认为,Vista要比它的竞争对手更安全。
微软的SDL软件开发方法的价值已经在广为应用的IIS中得到了证明,据安全专家Sutton称,采用了SDL方法开发的IIS,由于增强了安全控制,所面临的安全缺陷已经大大减少。
不过,Sutton认为现在宣布这场长期的安全之争中胜者还为时过早。他表示,:“能看到至今为止,Vista面临了较少的安全缺陷,这是一件令人兴奋的事情,但是,对于判断一个操作系统的安全性来说,六个月的时间显然还不够长。”
Sutton指出,在Vista中引入了很多基础性的安全功能改进,在安全研究工作者要想充分测试这个新的操作系统,还需要花费一些时间。
