Hace unos días se publicaron unos datos en los que se clasifican los fabricantes de soluciones software en función al número de vulnerabilidades que se le podían imputar a sus productos. Los responsables del estudio son los chavales del IBM Internet Security Systems’ X-Force R&D. Los datos del estudio son los correspondientes al primer semestre de 2007.
Los principales fabricantes de software acapararon el 12,6% (411 de 3272) del total de vulnerabilidades descubiertas. La distribución del número de vulnerabilidades de los fabricantes con más productos vulnerables fue la siguiente:
Microsoft, 4.2 %
Apple, 3 %
Oracle, 2 %
Cisco Systems, 1.9 %
Sun Microsystems, 1.5 %
IBM, 1.3 %
Mozilla, 1.3 %
XOOPS, 1.2 %
BEA, 1.1 %
Linux kernel, 0.9 %
Los datos, como siempre, hablan por sí mismos.
El informe completo se puede descargar en esta dirección: Cyber Attacks on the Rise: IBM 2007 Midyear Report.
Hombre creo que la medida por fabricante dice poco. Si un fabricante tiene 100 productos y 10 problemas de seguridad y otro tiene 10 productos y 5 vulnerabilidades… ¿el resultado es que el segundo es más seguro?
Habría que buscar a alguien objetivo que cotejara los diferentes resultados parciales que se van publicando por parte de cada una de las partes.
Para contrastar este estudio que tu comentas, también se ha publicado éste titulado donde los resultados no son tan malos para Micro$oft.
No os falta razón a ninguno de los dos.
Estos estudios hay que cogerlos con pinzas, porque normalmente quien los hace no gusta de salir mal en la foto :)
De todos modos, y para eso están los enlaces a Secunia, la ristra de vulnerabilidades de todos los fabricantes citados es elevada, si bien es cierto que el porcentaje no es la mejor métrica.
Quizás el mejor ratio sea número de vulnerabilidades, clasificadas por criticidad, en productos con elevada cuota de mercado. 20 problemas chorra en XOOPS no tienen la misma relevancia, siempre sobre el papel, que 20 fallos chorra en Windows o en Firefox.
Un saludo,