cnet科技資訊網(wǎng)3月23日國(guó)際報(bào)道 由微軟所贊助的一項(xiàng)研究指出，以linux 所運(yùn)作的網(wǎng)站會(huì)比windows 面對(duì)更多的風(fēng)險(xiǎn)。

    這份于周二所發(fā)布的研究表示，去年以windows server 2003 為基礎(chǔ)的網(wǎng)絡(luò)服務(wù)器上所修補(bǔ)的漏洞，比標(biāo)準(zhǔn)開放源代碼設(shè)定的red hat enterprise linux es 3還要少。 

    這份研究還指出，微軟網(wǎng)絡(luò)服務(wù)器的“風(fēng)險(xiǎn)日”（days of risk）比開放源代碼的競(jìng)爭(zhēng)對(duì)手要少很多──風(fēng)險(xiǎn)日是一種衡量已知、而未修補(bǔ)漏洞的方法。

    “這份研究的目的是要大家三思而行，要大家對(duì)于哪個(gè)平臺(tái)比較安全的問(wèn)題，不要人云亦云。”herbert thompson是安全應(yīng)用公司security innovations 的研究暨訓(xùn)練總監(jiān)，同時(shí)也是這份報(bào)告的三個(gè)作者之一，他如此表示。一般大家總認(rèn)為，linux 比windows 安全。

    這份報(bào)告上個(gè)月在rsa conference信息安全大會(huì)上發(fā)布時(shí)引起了爭(zhēng)議。而之前對(duì)于windows 及l(fā)inux 何者較為安全的一些比較研究，也造成很熱烈的討論。

    “我們認(rèn)為這很不正確。”紅帽（red hat ）的安全反應(yīng)小組主管mark cox周二在公司網(wǎng)站的網(wǎng)志（blog）上談到近來(lái)這些研究報(bào)告時(shí)表示。他指出，這份報(bào)告并未把“危險(xiǎn)”（critical）及較不危險(xiǎn)的漏洞區(qū)分開來(lái)，如果分開來(lái)算的話將對(duì)紅帽較為有利。

    除了在網(wǎng)志上回答之外，紅帽不愿對(duì)這份報(bào)告提出任何評(píng)論。

    漏洞算一算

    這份研究里，研究員計(jì)算了2004年里每個(gè)網(wǎng)絡(luò)服務(wù)器修補(bǔ)完成的已公布漏洞。此外，將風(fēng)險(xiǎn)日累計(jì)起來(lái)──在漏洞公開之后及軟件開發(fā)者修補(bǔ)好漏洞期間的風(fēng)險(xiǎn)日總數(shù)。 

    使用red hat enterprise linux es 3 的服務(wù)器風(fēng)險(xiǎn)日超過(guò)了12000 ，而微軟則大約1600天，研究指出。

    而漏動(dòng)方面，搭配apache web server 、mysql 數(shù)據(jù)庫(kù)，以及p 惠普 scripting language 的紅帽網(wǎng)絡(luò)服務(wù)器的出廠設(shè)定要處理174 個(gè)漏洞，該研究指出。以微軟server 2003 、internet information server 6 、sql server 2000 ，及Asp.net 的出廠設(shè)定則有52個(gè)漏洞。

研究員還研究了兩者的最小化設(shè)定，也就是把一些與網(wǎng)頁(yè)伺服無(wú)關(guān)的應(yīng)用拿掉之后再做比較。在此情況下，微軟仍然以52個(gè)漏洞輕松打敗了紅帽linux 軟件的132.

    紅帽的cox 則在網(wǎng)志的文章反駁這份研究。

    “不管是以微軟或者是紅帽的嚴(yán)格標(biāo)準(zhǔn)來(lái)分，red hat enterprise linux 3只有8 個(gè)漏洞屬危險(xiǎn)等級(jí)。”他寫道，“而這些漏洞里，有四分之三在一天內(nèi)就修補(bǔ)好，一般則都是要八天。”

    一般而言，“危險(xiǎn)”等級(jí)的安全漏洞可能讓黑客從遠(yuǎn)端控制電腦系統(tǒng)。這份研究把漏洞等級(jí)分為“高”（high）、“中”（medium），以及“低”（low ）危險(xiǎn)三個(gè)等級(jí)。而“高”危險(xiǎn)的等級(jí)包括了紅帽及微軟的“critical”（“危險(xiǎn)”或“重大”），以及可以讓地區(qū)端使用者取得系統(tǒng)功能存取權(quán)限的漏洞。根據(jù)這份報(bào)告指出，不管是在原廠的設(shè)定或是最小化的設(shè)定里，微軟的“高危險(xiǎn)”漏洞都少很多。

    但研究員坦承，微軟資助了這份研究。微軟在周二所發(fā)布的新聞稿也指出，這份報(bào)告是微軟“了解事實(shí)”（get the facts）活動(dòng)的一部份，這個(gè)活動(dòng)目的是要強(qiáng)調(diào)windows 軟件的好處。

    “當(dāng)security innovations向微軟提案軟件安全的研究方法時(shí)，我們?cè)u(píng)估之后認(rèn)為這類分析對(duì)我們的客戶相當(dāng)有用，所以就贊助了他們的研究。”微軟在新聞稿中表示。“我們鼓勵(lì)客戶以他們自己的電腦環(huán)境來(lái)檢驗(yàn)與評(píng)估里面的信息。”

    除了thompson之外，這份研究報(bào)告的其他兩位作者分別為佛羅里達(dá)科技研究所（florida institute of technologyl）的電腦科學(xué)教授richard ford，以及security innovations的安全測(cè)試工程師。他們希望在研究報(bào)告里公布研究方法，以反擊各方的批評(píng)。

    “研究方法的設(shè)計(jì)讓其他人也可以自行去驗(yàn)證──它必需是量化而可重覆的。”thompson表示。“我們不是給人一塊蛋糕而已，我們還提供了蛋糕的做法。”

    雖然風(fēng)險(xiǎn)日和漏洞的計(jì)算都不能當(dāng)作衡量安全的真正方式，但thompson表示，他們希望把重點(diǎn)放在對(duì)于系統(tǒng)管理員有意義的指標(biāo)上。他指稱，等待漏洞的時(shí)間總數(shù)是一個(gè)相當(dāng)合理的計(jì)算方法。

    然而，thompson承認(rèn)，安全大部份還是要靠管理員的專業(yè)。

    “我想，對(duì)于有能力的管理員來(lái)說(shuō)，兩個(gè)操作系統(tǒng)都相當(dāng)安全。”thompson表示。“如果我有個(gè)linux 專家，那我就會(huì)希望這個(gè)人幫我管 linux 網(wǎng)絡(luò)服務(wù)器；如果我比較是個(gè)windows 專家，那我當(dāng)然就用windows 了。”