Share via


Um Ano de Windows Vista

Há pouco mais de um ano atrás o Windows Vista era lançado pela Microsoft, e o Jeff Jones aproveita para fazer um balanço das vulnerabilidades de segurança corrigidas neste primeiro ano do sistema. Os números são:

¦ 36 vulnerabilidades publicadas, corrigidas por

¦ 17 patches de segurança, divulgados em

¦ 9 dias de patch diferentes.

Destas 36 vulnerabilidades, 11 foram vulnerabilidades consideradas críticas, 14 vulnerabilidades importantes, 7  de severidade média e 4 de severidade baixa. É um número substancialmente menor do que as 65 vulnerabilidades descobertas no primeiro ano do Windows XP, 20 das quais críticas.

Incluindo ainda as vulnerabilidades divulgadas mas não corrigidas no primeiro ano de vida de cada sistema, a redução no número de vulnerabilidades fica evidente:

Vulnerabilidades no Primeiro Ano

O número de vulnerabilidades não representa necessariamente o quão seguro é um sistema operacional, mas é uma ótima indicação da preocupação com segurança durante o processo de desenvolvimento: um processo de desenvolvimento seguro visa justamente diminuir o número de vulnerabilidades - especialmente as críticas - no produto final.

Os números claro ainda poderiam ser melhores, e o ideal é que um dia eles chegassem a zero. Mas reduzir em quase 50% as vulnerabilidades em um sistema que tem quase o dobro de linhas de código é um testemunho de  o quanto o processo SDL evoluiu entre 2001 e 2007.

O relatório ainda se dá ao trabalho de comparar os números do Windows Vista com os de outros sistemas operacionais lançados há mais de um ano: Red Hat Enterprise Linux 4, Ubuntu LTS 6.06 "Dapper Drake", e Mac OS X 10.4 "Tiger". Para fazer uma comparação justa com as distribuições Linux, foram excluídas todas as vulnerabilidades referentes a pacotes que não tem similar no Windows Vista, como compiladores, ferramentas gráficas como o GIMP e pacotes de escritório como o OpenOffice. As vulnerabilidades destes pacotes não entraram na conta.

O gráfico abaixo mostra a comparação entre as vulnerabilidades encontradas no primeiro ano de lançamento de cada sistema:

Comparativo de Vulnerabilidades

Os números não devem surpreender mais ninguém a esta altura, e mostram antes de mais nada a enorme diferença que existe entre softwares que adotam princípios de desenvolvimento seguro, e softwares onde não existe nenhuma preocupação com segurança no desenvolvimento.

O relatório completo pode ser obtido aqui, em inglês. Os números de vulnerabilidades foram obtidos nos sítios dos próprios fabricantes.

Comments

  • Anonymous
    January 01, 2003
    Oi Gustavo, Todos aqueles que não conseguem responder a seguinte pergunta: "O que você está fazendo para reduzir o número de vulnerabilidades no seu produto?" Abraços,

  • Anonymous
    January 01, 2003
    Caro Marco, O relatório fala de vulnerabilidades de segurança, e não de outros tipos de bug. Abraços,

  • Anonymous
    January 23, 2008
    Viva, Sem queres parecer ser contra a Microsoft. É um bocado forte, um gráfico de bugs entre Sistemas Operativos a poucos dias de serem corregidos mais de 350 novos bugs no Windows Vista, com o SP1. Enquanto os outros Sistemas Operativos lançam correcções quando são corregidas. Era bom que fizesses novamente o gráfico com o resultado de "Um ano e 1 mês".

  • Anonymous
    January 24, 2008
    Oi Cima Uma pergunta, quais são os "softwares onde não existe nenhuma preocupação com segurança no desenvolvimento"? []s