【大纪元4月2日讯】(大纪元记者邱均正编译报导)大型软件出现安全性漏洞已经成为众多的软件使用者最关心的事了。因为严重的安全漏洞可能造成个人与商业资料泄、甚至造成系统的损毁。最近瑞士的一项独立研究针对两大软件供应商﹕苹果与微软进行了一项安全漏洞的补丁比较,看看这两大业者对漏洞处理使否如它们广告所说的一样安全。
频果电脑的一个取笑广告暗示它们的软件比微软的还要安全,不过,根据最近由黑帽(Black Hat)会议所公布的研究结果,这可能与事实不符。
来自瑞士技术研究中心的研究人员研究在过去6年里两家公司产品漏洞在被发现后一天内提供有效补丁的总次数,可以说明双方所说的零时差(zero-day)补丁的速度。
参与此计划的研究人员史堤芬-弗雷(Stefan Frei)说:根据国家漏洞数据库使用的分类,对影响微软的658个漏洞与苹果的738个漏洞进行分析,只研究高度与中度具危险的臭虫(bugs)。他们的发现与一般大众的认知刚好相反,苹果的产品安全性较高,但是补丁发布却是落后微软。
弗雷说:”苹果在2005年前比率一直低于20”,而从那个时候之后,就常常高过这个数字。如果把苹果与微软来做比较,发现苹果的安全漏洞没有对应补丁的数量比微软还要高。当安全漏洞被回报时,软件厂商能提供补丁解决问题是很好的,因为骇客(hacker)会尝试找出安全漏洞点以便撰写恶意软件来攻击一部机器。
当臭虫被详细公开后,要软件厂商是需要透过公司内部或外部安全分析师取得相关资讯才能提供对应的补丁,否则厂商就必须感尽快的制作补丁,不过这个过程可能很拢长,而且需要严格的测试才能确保补丁不会与其他软件发生冲突。他说:苹果在2003年稍晚才开始无时差漏洞补丁的发布。
我们认为苹果刚开始的漏洞比较少,只是让人感到惊讶或不那么快速或不那么引起注意而已,看来微软早期与一些安全组织有较好的关系。弗雷说:在过去几年,微软尝试培养与安全组织较密切的关系,且鼓励研究人员对软件问题要更足智多谋。而苹果似乎没有采取相同的方式,”据我们所发现,这已经对苹果电脑产生伤害”。
好奇的是,双方在安全漏洞的无时差补丁发布都好像只落在主要产品发表前的6个月内,这样的趋势在2004与2005年是最显着,弗雷认为在大型软件的产出是需要耗用很大的工程资源。
微软的安全与研发主管安德鲁-柯司曼(Andrew Cushman)说:他不知道造成这种趋势的真正原因是什么,但是在2004与2005年,微软的Office系列软件出现了些不成熟的安全漏洞,是因为没有被事先发现,所以这可能是造成臭虫没有补丁比例很高的原因。
这项研究证明微软在过去几年加强安全的主张,微软柯司曼开玩笑的问弗雷说:”微软有赞助这个研究吗?” 弗雷回答:这是一个完全独立的学术研究。(http://www.dajiyuan.com)
