小野寺です。
少し前になりますが、Jeff Jones が、主な 4 つのデスクトップ OS を調査して、脆弱性の対応状況等をレポートとして公表していました。
脆弱性に対する考え方の一つとして面白いため、翻訳版を作ってみました。冒頭部分を以下に抜粋します。
-—
このレポートでは 2008 年上半期に Apple、Microsoft、Red Hat および Ubuntu が対応した全脆弱性について考察しており、Days of Risk (DoR) 、一般的にインストールされているデスクトップのオペレーティング システムのコンポーネントに影響する問題について、詳細に検証しています。
2008 年上半期の主要な調査結果:
- 2008 年上半期、ベンダー企業 4 社は、総数 585 件の脆弱性に対応しました。
影響を受けた複数のベンダー企業 26.8% のうち、同日に修正されたのは 8 件のみでした。残りについては、最初に公開された利用可能な修正プログラムと最後に公開された修正プログラムとの間に平均 35 日間の遅れ (差) がありました。 - マイクロソフトは、全脆弱性について Days of Risk (脆弱性が一般に公開されてからベンダーの対策が利用可能になるまでの時間)の平均日数が最も低く、24.22 日間でした。次点のベンダー企業では 72 日間でした。
- デスクトップ OS の脆弱性では、2008 年上半期、Windows Vista の脆弱性が最も少なく 21 件でした。次に低い数字は Windows XP SP2 の 26 件です。 Windows Vista の利用者にとって、2008 年上半期で Windows XP SP2 に影響を与えた 26 件の脆弱性うち、その 46%で、完全な、または部分的な緩和策が存在しました。しかし、1 件の脆弱性が新規コード部分に発見されました。
これらのベンダー企業および製品の測定に加え、本レポートではより低い深刻度のためにあまり問題にされない場合について、深刻度の程度を調整した分析を行っています。詳しくは、レポートをご覧ください。
