Компания Aberdeen Group, специализирующаяся на консультационных услугах в сферекомпьютерной безопасности, опубликовала весьма интересный отчет о безопасностиразличных компьютерных платформ. В нем, в частности, указывается, что пальмапервенства по количеству дыр и уязвимостей в программных продукта
постепеннопереходит от корпорации Microsoft к разработчикам ПО с открытым исходным кодом.
На такие выводы аналитиков Aberdeen Group натолкнуло изучение рекомендаций организацииCERT (Computer Emergency Response Team) за последние пару лет. Как оказалось,наибольшее количество сообщений об уязвимостях в Windows пришлось на 2001 г.В то же время, за первые десять месяцев года нынешнего более половины (точнее,16 из 29) предупреждений CERT касались Linux. Количество сообщений CERT о троянскихпрограммах для Windows снизилось с шести до нуля. В случае с Linux число трояновнемного увеличилось: за первые десять месяцев 2002 г. были выпущены два предупрежденияCERT против одного за весь 2001 г. Кроме того, постепенно растет число предупрежденийо дырах в программных продуктах для других вариантов UNIX, включая MacOS X, внутреннегоПО сетевого оборудования и систем защиты информации.
В Aberdeen Group выражают сомнение в том, что разработчики ПО с открытым кодомдействительно быстрее и эффективнее устраняют дыры в своих продуктах. Например,в случае с Linux борьбу с дырами усложняет наличие большого числа дистрибутивов,для каждого из которых часто требуются собственные заплатки. В открытых продуктахредко встречаются системы автоматического обновления, ставшие уже привычнымидля продуктов той же Microsoft и позволяющие оперативно и в автоматическом режимеликвидировать уязвимые места в программном обеспечении. Все это значительно осложняетборьбу с дырами в Linux и других UNIX-подобных системах.
Аналитики Aberdeen Group полагают, что поставщики решений на основе открытогоПО должны лучше следить за безопасностью своих продуктов и совершенствовать технологииих оперативного обновления. В свою очередь, для всей отрасли программного обеспечения,как с открытым, так и с закрытым кодом, необходимой является выработка единыхстандартов обеспечения безопасности и единой системы сертификации продуктов напредмет соответствия таким стандартам.
Специалисты CERT, впрочем, полагают, что в Aberdeen Group сделали слишком далекоидущие выводы из их рекомендаций. Политика CERT заключается в выпуске предупрежденийлишь о самых опасных дырах и вредоносных программах, независимо от того, содержатсяли они в открытом или закрытом ПО. При этом CERT охватывает около пятой частивсех подобных инцидентов. В организации также подчеркивают, что дыры обязанысвоему появлению не тому, что программа разрабатывается сообществом open sourceили крупной компанией, а ошибкам и недоработкам программистов.