大约一年前,Jonathan Hassell写了一篇专栏文章,介绍Windows和Linux这两种平台中的哪一个具备更多功能丰富的安全工具。这一优势值得称赞。但是,拥有优秀的安全工具只是一部分。鉴于最近发生的事件,现在更迫切和更重要的问题也许是哪一种平台更容易打补丁。
“风险日”的定义是公开宣布一个安全漏洞和厂商首次发布安全补丁之间的日子。研究公司Forrester Research今年春季发布了一篇研究报告,介绍了如何衡量风险日、安全漏洞实际修复的比例和美国国家标准与技术研究所ICAT计划列为高等级安全漏洞的比例。
位于马萨诸塞州剑桥的Forrester研究公司发现,微软在快速发布安全补丁方面做得非常好,并且做出了全面的努力修复所有的安全漏洞。不过,微软仅以微弱的优势领先于Linux厂商。在这篇研究报告的调查期内,微软修复了全部的安全漏洞,比例是100%。主要Linux厂商SuSE、Red Hat和Debian的得分是97至99%。Forrester指出,所有的操作系统在使用安全补丁的时候都是同样容易的。Forrester高级分析师Laura Koetzle发表了一句值得引用的话说:“底线?这些平台中的任何一个平台都能够安全地运行。”
关于Windows与Linux对比哪一种操作系统存在更多的安全漏洞,最近流传着很多很多的报道,其中有些报道在内容上是相互矛盾的。因此,要得到真正的、严格对比的结果是很难的,因为Linux软件的发布版有很多的版本,所有的版本都使用不同的软件。你计算过Evolution软件中的安全漏洞和Novell公司的Linux桌面产品中的安全漏洞吗?或者你计算过Linux整体的安全漏洞吗?一种发布版Linux默认安装后存在一个安全漏洞,而其它版本却没有这个安全漏洞,这该如何计算?你曾对照微软Windows内核产品计算过IIS(网络信息服务器)的安全漏洞吗?Office的问题如何计算?
这是一种答案模糊不清的问题。这个问题在短时间内是不可能搞清楚的。因此,与其争论Windows与开源软件的对比,还不如讨论一下这个问题的实质,设法研究出一种结论并且应用我们提出的结论。对于我来说,这个问题归结为两个问题:
?哪一种平台需要使用更多的补丁?
?在那个平台上,打补丁是不是很容易?
对于第一个问题,我的答案的是Windows,无论你怎样看都是如此。虽然有关安全漏洞的数量还存在争议,但是,大多数企业环境都采用Windows操作系统,即使是几个安全漏洞也会需要企业大量地应用补丁。这个问题可能是安全漏洞不多,但是Windows PC的数量太多,或者是安全漏洞数量多,Windows PC的数量也多。无论是属于哪一种情况,Windows都需要使用更多的补丁。
至于第二个问题,微软已经显著改善了它过去使用的发布补丁的方式。你要直接管理软件更新吗?安装Windows服务器更新服务,批准补丁服务并且设置一个组策略对象让你的计算机指向那台机器。你可以把目标设置为几台计算机或者几组计算机,或者设置分级配置。一旦你设置完毕,这个事情就非常容易了。当然,微软总是为小型网络和家庭用户提供微软的升级软件,而且用于大型网络的SMS 2003安全补丁程序管理并不只是修复Windows和Office的漏洞。补丁应用可以是很方便的。在Linux方面,有没有发布补丁的机制?使用补丁是这样方便吗?
我对这个问题的答案是:我不知道。我对此表示怀疑。
