Интересная история произошла с аналитическим отчётом IBM X-Force Threat Report, который традиционно выходит раз в полгода и посвящён анализу последних тенденций в области информационной безопасности. Среди прочего, они приводят статистику по количеству обнаруженных дыр (в их базе данных за I пол. 2010 года зарегистрировано около 4500 уязвимостей, кстати, рекордное число) и по количеству патчей. Таким образом, они составляют рейтинг, какой вендор лучше справляется с обнаруженными уязвимостями.
Новый отчёт вышел на прошлой неделе (скачать разрешают после регистрации, но можно попробовать прямую ссылку на PDF). Он интересен двумя вещами.
Во-первых, документ придётся переделать. Авторы из IBM уже сказали, что в ближайшие дни заменят PDF на FTP-сервере. Проблема в том, что две компании заявили протест по опубликованным цифрам в рейтинге «дырявых вендоров». Одна из этих компаний — Google.
В первой версии отчёта Google возглавляет рейтинг по худшему закрытию критических дыр с показателем 33%. Но выяснилось, что эта цифра получена на основании всего трёх уязвимостей, выявленных в сервисах Google в этом году, из которых одна не была закрыта, и как оказалось позже, это и вовсе был не баг, а результат терминологической путаницы.
Какая ещё фирма кроме Google подавала протест — неизвестно, но IBM была вынуждена не просто исправить ошибку, а вручную изменить данные и по другим уязвимостям (исправлен статус «критическая», привязка к вендору, информация о выходе патчей). Коррекция базы данных отразилась на многих показателях.
Старая версия документа сохранилась на Scribd, так что вы сами можете сравнить две таблицы (стр. 20).
Таблица из старого отчёта…
… будет заменена на новую.
Репутация Google очищена и теперь она значится с 0% незакрытых критических дыр, также как Linux и Apple.
В итоге получилось — и это вторая интересная вещь относительно отчёта — что после коррекции цифр IBM поставила себя на первое место в списке «худших патчеров», если считать только критические уязвимости.
Новый отчёт вышел на прошлой неделе (скачать разрешают после регистрации, но можно попробовать прямую ссылку на PDF). Он интересен двумя вещами.
Во-первых, документ придётся переделать. Авторы из IBM уже сказали, что в ближайшие дни заменят PDF на FTP-сервере. Проблема в том, что две компании заявили протест по опубликованным цифрам в рейтинге «дырявых вендоров». Одна из этих компаний — Google.
В первой версии отчёта Google возглавляет рейтинг по худшему закрытию критических дыр с показателем 33%. Но выяснилось, что эта цифра получена на основании всего трёх уязвимостей, выявленных в сервисах Google в этом году, из которых одна не была закрыта, и как оказалось позже, это и вовсе был не баг, а результат терминологической путаницы.
Какая ещё фирма кроме Google подавала протест — неизвестно, но IBM была вынуждена не просто исправить ошибку, а вручную изменить данные и по другим уязвимостям (исправлен статус «критическая», привязка к вендору, информация о выходе патчей). Коррекция базы данных отразилась на многих показателях.
Старая версия документа сохранилась на Scribd, так что вы сами можете сравнить две таблицы (стр. 20).
Таблица из старого отчёта…
… будет заменена на новую.
Репутация Google очищена и теперь она значится с 0% незакрытых критических дыр, также как Linux и Apple.
В итоге получилось — и это вторая интересная вещь относительно отчёта — что после коррекции цифр IBM поставила себя на первое место в списке «худших патчеров», если считать только критические уязвимости.
