Aberdeen: l'open source impari da Microsoft

Secondo gli esperti dell'Aberdeen Group la palma di software meno sicuro e più vulnerabile spetta a Linux e all'open source. Entrambi, dicono, dovrebbero andare a scuola di sicurezza a Redmond

Boston (USA) - Non è più Microsoft il simbolo dei problemi di sicurezza, bensì Linux e il software open source. E' questa la conclusione tratta da due analisti dell'Aberdeen Group dopo aver analizzato, in uno studio pubblicato la scorsa settimana, gli avvisi di sicurezza rilasciati dal CERT durante i primi 10 mesi del 2002.

Secondo i due analisti della celebre società di rilevazione, oltre la metà di questi bollettini di sicurezza riguardano software open source. In particolare, nel solo mese di ottobre sarebbero 16, sui 29 rilasciati, gli advisory che interessano Linux, e soltanto sette quelli relativi a falle di Windows.

"Questo dimostra che il problema dei bug del software è comune a tutta l'industria", ha affermato Mike Nash, vice presidente della Security Business Unit di Microsoft.
E se Microsoft questa volta sembra non aver voluto affondare il colpo, limitandosi a dire "siamo tutti sulla stessa barca", lo studio dell'Aberdeen Group afferma in modo esplicito che la maggiore sicurezza di Linux e del software open source rispetto al software proprietario è smentita dai numeri.

Ma il metodo con cui la società di analisi ha ottenuto questi numeri ha fatto riemergere una vecchia diatriba legata al modo in cui andrebbero conteggiate le vulnerabilità. I difensori del software open source sostengono che l'open source rappresenta un bacino di software assai più grande rispetto a quello prodotto da Microsoft, pertanto risulterebbe ovvio che il numero complessivo di vulnerabilità collezionate dal software Linux/open-source sia più elevato di quello che interessa Windows e il software di Microsoft.

Oltre a questo, qualcuno fa poi notare che il CERT pubblica solo una selezione di vulnerabilità e che il suo obiettivo non è quello di rimpiazzare i normali siti dedicati alla divulgazione delle vulnerabilità di sicurezza.

Nella propria relazione, i due analisti dell'Aberdeen Group sostengono che gli sviluppatori open source, al fine di migliorare la sicurezza del proprio software, dovrebbero prendere a modello ciò che ha fatto Microsoft in seno all'iniziativa Trustworthy Computing: una strategia, quest'ultima, che i due analisti considerano un buon esempio di come sia possibile sviluppare codice più stabile e sicuro.

L'open source andrà dunque a scuola di sicurezza da Microsoft?
110 Commenti alla Notizia Aberdeen: l'open source impari da Microsoft
Ordina
  • Salve a tutti, dico la mia sull'articolo
    "Aberdeen: l'open source impari da Microsoft"

    (http://punto-informatico.it/p.asp?i=42351)

    Allora. La questione e' mal posta. Non so se a causa dell'autore dell'articolo (quello di Punto Informatico) o degli autori dello studio.

    Cerco di spiegarmi il piu' semplicemente possibile e per punti:

    PREMESSE

    1) Open Source e Linux, NON sono una singola ditta. Open Source e' il nome "giornalistico" che si da a una autentica marea di software prodotta da: Ricercatori, Aziende, liberi professionisti, dilettanti etc. Quindi, non si puo' fare un solo calderone. Quando si dice Open Source, si parla contemporaneamente di centinaia di diversi produttori, quando si parla di Microsoft, si parla di UN solo produttore.

    2) Non tutto il software Open Source gira su Linux, ma gira anche su Windows, su Mac, etc..

    3) Gli avvisi del CERT (http://www.cert.org) sono bollettini in cui si dice (piu' o meno):

                Programma X,
                Produttore Y,
                Versione Z,
                         descrizione del difetto,
                         possibile soluzione.

    4) Nessuno ha MAI detto che il software Open Source sia perfetto in quanto tale. Ci sono tra gli sviluppatori di Open Source sia autentici pozzi di scienza, sia bestie incommensurabili.

    5) Presi a caso 10 computer al mondo, su otto di essi gira Windows, e sul resto un sistemo operativo diverso.

    A QUESTO PUNTO:

    Uno studio condotto come viene spiegato nell'articolo ha ben poco valore. Infatti, immagino una serie di segretarie sceme che contano quanti avvisi riguardano un prodotto Microsoft, e quanti riguardano un prodotto "Open Source" vale a dire, una sfida Microsoft-Resto del mondo. E il fatto che un solo produttore riesca a fare un numero di vaccate inferiore ma confrontabile a tutti gli altri messi insieme, non e' un risultato di cui andare particolarmente fieri (infatti, la Microsoft si e' astenuta dal gongolare).

    C'e' poi un altro punto da considerare. La sicurezza di un software, va valutata in senso piu' ampio. Infatti, NESSUNO puo' sostenere di aver prodotto un software perfetto ed a prova di bomba, per cui, un errore e' sempre possibile. Bisognerebbe anche considerare pero' i tempi ed i costi di "riparazione". Una volta individuato un problema in un software Open, un'utente esperto puo' effettuare in tempi rapidi e gratis le correzioni appropriate. Un utente inesperto puo' scaricarle gratuitamente dalla rete. In un sistema operativo chiuso (come Windows), gli utenti devono aspettare che la casa madre rilasci il patch, ammesso che lo faccia (e con Microsoft non e' detto che questo avvenga sempre, anzi esistono numerosi Bug documentati da anni che non sono stati corretti). Infine. Se nel mondo 8 computer su 10 eseguono windows, il peso delle "poche" vulnerabilita' di Windows e' nettamente superiore a quello delle "molte" vulnerabilita' dell'Open Source, anche considerando che le "poche" vulnerabilita' di Windows restano tali per piu' tempo delle "molte" dell' Open Source.

    CONCLUDENDO

    1) Da uno studio, cosi' come e' descritto nell'articolo di P.I. non si evince alcun dato nuovo o significativo dal punto di vista scientifico.

    2) Il fatto che le migliaia di persone che distribuiscono gratuitamente il loro software facciano in totate piu' errori di una singola casa che lo vende,

             a) non giustifica gli errori di Microsoft
             b) non giustifica gli errori degli altri
             c) non da' da solo nessuna motivo determinante per    
    preferire l'una o gli altri

    Naturalmente, sto cercando il report dello studio Aberdeen per rendermi conto di persona del suo effettivo contenuto e delle conclusioni, magari, se c'e' qualcosa di nuovo mi rifaccio vivo.

    Saluti e baci

    pagina777

  • pensateci un attimo... ponetevi la seguente domanda:

    "ma ci credo perchè ne sono convinto, o solo perchè non sono riuscito a far andare la mia shda video con linux?"

    fatto questo correte a comprarvi un pinguino di peluche.

    a parte gli scherzi... quali sarebbero le clamorose insicurezze di linux che non hanno controparti in windows?
    non+autenticato
  • Oddio, c'è qualcuno che ci crede.
    non+autenticato
  • Oddio, c'è qualcuno che ci crede.
    non+autenticato
  • non vi accanite su ques`articolo,
    in realta` e` colpa mia, ieri mi sono finalmente liberato di un win XP per un RH, decisione che ho preso anche grazie a PI,
    oggi vengo qui, il sito e` stravolto e tra le altre questa news...

    se mi accorgo che la sfiga insiste reinstallo il 98,
    di cui ho licenza...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 22 discussioni)