Смотрите, какая красивая картинка тут нарисовалась:
Это средняя задержка с момента появления информации об уязвимости до момента её устранения в различных никсовых дистрибутивах (в днях, Карл!!) из презентации о статистике, посчитанной по базе vulners.com.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Это средняя задержка с момента появления информации об уязвимости до момента её устранения в различных никсовых дистрибутивах (в днях, Карл!!) из презентации о статистике, посчитанной по базе vulners.com.
Не очень информативно — FreeBSD так быстро патчат или там просто редко находят уязвимости (что будет влиять на скорость патчинга). В общем, третье измерение напрашивается...
А вообще — VMware удивили...
Re[2]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, DOOM, Вы писали:
DOO>Не очень информативно — FreeBSD так быстро патчат или там просто редко находят уязвимости (что будет влиять на скорость патчинга). В общем, третье измерение напрашивается...
Насчёт фряхи соглашусь, но вот насчёт дистрибутивов Linux -- доля уязвимостей, специфичных для дистрибутива там исчезающе мала (т.к. значительная часть кодовой базы таки общая), поэтому речь на картинке идёт о различном времени устранения одних и тех же уязвимостей, по большей части.
DOO>А вообще — VMware удивили...
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Это средняя задержка с момента появления информации об уязвимости до момента её устранения в различных никсовых дистрибутивах (в днях, Карл!!) из презентации о статистике, посчитанной по базе vulners.com.
Что-то тут в этой статистике не то.
По своему опыту (Debian в основном) после появления информации на новостных ресурсах о какой-то серьезной уязвимости апдейт прилетает в течение суток, часто практически одновременно, редко пара-тройка суток проходят. Какие там 50 дней с лишним?
Похоже, что это среднее выведено "по больнице" для всех уязвимостей во всех программах в дистрибутиве (которых десятки тысяч), многие из которых экзотические или малоопасны. В таком случае сильно влияет тот фактор, что чем больше пакетов в дистре, тем больше времени обновления проходят.
Для оценки состояния безопасности разных дистрибутивов лучше выбрать некоторые самые ключевые программы и уязвимости с работающими эксплоитами.
Между прочим, а что там делает VMWare в этом списке?
Re[3]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Насчёт фряхи соглашусь, но вот насчёт дистрибутивов Linux -- доля уязвимостей, специфичных для дистрибутива там исчезающе мала (т.к. значительная часть кодовой базы таки общая), поэтому речь на картинке идёт о различном времени устранения одних и тех же уязвимостей, по большей части.
Так у фряхи порты с той же самой кодовой базы, разница лишь в ядре и части системного софта.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Re[2]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, Michael7, Вы писали:
M>Похоже, что это среднее выведено "по больнице" для всех уязвимостей во всех программах в дистрибутиве (которых десятки тысяч), многие из которых экзотические или малоопасны. В таком случае сильно влияет тот фактор, что чем больше пакетов в дистре, тем больше времени обновления проходят.
Разве в Gentoo настолько больше пакетов, чем в Debian?
M>Для оценки состояния безопасности разных дистрибутивов лучше выбрать некоторые самые ключевые программы и уязвимости с работающими эксплоитами.
Согласен, но пока есть только эта статистика.
M>Между прочим, а что там делает VMWare в этом списке?
Дык у них куча решений на базе Linux. Начиная с ESX и заканчивая Photon OS.
Здравствуйте, kochetkov.vladimir, Вы писали:
DOO>>Не очень информативно — FreeBSD так быстро патчат или там просто редко находят уязвимости (что будет влиять на скорость патчинга). В общем, третье измерение напрашивается...
KV>Насчёт фряхи соглашусь, но вот насчёт дистрибутивов Linux -- доля уязвимостей, специфичных для дистрибутива там исчезающе мала (т.к. значительная часть кодовой базы таки общая), поэтому речь на картинке идёт о различном времени устранения одних и тех же уязвимостей, по большей части.
Вопрос по фряхе — если так редко находят уязвимости — это она такая качественная, или просто никто не ищет?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>слегка с запозданием (дней эдак в 250 )?
А это, к слову, объясняет непонятную тебе разницу между Debian и Gentoo. Или гента, которая чуть ли не из nighty builds состоит, или Debian — куда попадает пакет с отставанием на год от текущей версии разработчика.
Re[6]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>слегка с запозданием (дней эдак в 250 )? DOO>А это, к слову, объясняет непонятную тебе разницу между Debian и Gentoo. Или гента, которая чуть ли не из nighty builds состоит, или Debian — куда попадает пакет с отставанием на год от текущей версии разработчика.
Как тогда понять положение ArchLinux в статистике?
Re[3]: Средняя величина "time-to-patch" в различных никсах
M>>Похоже, что это среднее выведено "по больнице" для всех уязвимостей во всех программах в дистрибутиве (которых десятки тысяч), многие из которых экзотические или малоопасны. В таком случае сильно влияет тот фактор, что чем больше пакетов в дистре, тем больше времени обновления проходят.
KV>Разве в Gentoo настолько больше пакетов, чем в Debian?
Если честно не очень в курсе. Но количество пакетов — не единственный фактор. Новизна пакетов, кстати и в плюс и в минус может играть.
К тому же Gentoo очень своеобразный дистрибутив.
M>>Для оценки состояния безопасности разных дистрибутивов лучше выбрать некоторые самые ключевые программы и уязвимости с работающими эксплоитами.
KV>Согласен, но пока есть только эта статистика.
Которая похоже, что ничего не дает для практики, то есть по этим данным нельзя выбирать безопасную систему.
Специфичные для конкретных дистрибутивов уязвимости встречаются не часто, хотя бывает, что из-за разных настроек подвержены ей не все системы.
Имеет значение активно ли ведется работа над дистрибутивом и есть ли у него стабильная ветка, для которой делают почти только security патчи. У Debian, к примеру, это все есть. И например, исправления ошибок в ядре или в многострадальной библиотеке OpenSSL появляются очень быстро. Аналогично и в других дистрибутивах. Поэтому срок в 50+ дней он очень странный.
Re[2]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, DOOM, Вы писали:
DOO>А вообще — VMware удивили...
Дык просто выпускают видимо со следующим релизом, который раз в год, оттого и среднее такое.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[7]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, Michael7, Вы писали:
M>Как тогда понять положение ArchLinux в статистике?
Просто Arch Linux, как и FreeBSD, быстро портируют новые релизы программного обеспечения. Процесс доведения обновлений до конечного пользователя оптимизирован, притом что это source-based дистрибутивы.
Дистрибутив Gentoo излишне вариативен. Остальным не хватает динамичности.
Re[3]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, Marty, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
DOO>>>Не очень информативно — FreeBSD так быстро патчат или там просто редко находят уязвимости (что будет влиять на скорость патчинга). В общем, третье измерение напрашивается...
KV>>Насчёт фряхи соглашусь, но вот насчёт дистрибутивов Linux -- доля уязвимостей, специфичных для дистрибутива там исчезающе мала (т.к. значительная часть кодовой базы таки общая), поэтому речь на картинке идёт о различном времени устранения одних и тех же уязвимостей, по большей части.
M>Вопрос по фряхе — если так редко находят уязвимости — это она такая качественная, или просто никто не ищет?
Весьма качественная. Вроде бы корневые сервера DNS этих ваших на фряхе работают. Минималистичный дистрибутив линукс, заточенный в основном под безопасность, ничего лишнего. Ходили даже слухи, что у мс в середине 2000-х какие-то сервера на фряхе работали.
Кодом людям нужно помогать!
Re[5]: Средняя величина "time-to-patch" в различных никсах
M>>Вопрос по фряхе — если так редко находят уязвимости — это она такая качественная, или просто никто не ищет?
S>Весьма качественная. Вроде бы корневые сервера DNS этих ваших на фряхе работают. Минималистичный дистрибутив линукс, заточенный в основном под безопасность, ничего лишнего. Ходили даже слухи, что у мс в середине 2000-х какие-то сервера на фряхе работали.
Что-то меня выделенное смутило. Фряха — это минималистичный дистрибутив линукс, я так понимаю? Ничего, что система называется FreeBSD?
Здравствуйте, Marty, Вы писали:
M>Что-то меня выделенное смутило. Фряха — это минималистичный дистрибутив линукс, я так понимаю? Ничего, что система называется FreeBSD?
Видимо опечатался человек и имел в виду unix.
Re[7]: Средняя величина "time-to-patch" в различных никсах
Здравствуйте, Klikujiskaaan, Вы писали:
M>>Что-то меня выделенное смутило. Фряха — это минималистичный дистрибутив линукс, я так понимаю? Ничего, что система называется FreeBSD?
K>Видимо опечатался человек и имел в виду unix.
Да что-то не похоже. Назвать фряху минималистичным дистрибутивом?
Здравствуйте, Marty, Вы писали:
M>Здравствуйте, Sharov, Вы писали:
M>>>Вопрос по фряхе — если так редко находят уязвимости — это она такая качественная, или просто никто не ищет?
S>>Весьма качественная. Вроде бы корневые сервера DNS этих ваших на фряхе работают. Минималистичный дистрибутив линукс, заточенный в основном под безопасность, ничего лишнего. Ходили даже слухи, что у мс в середине 2000-х какие-то сервера на фряхе работали.
M>Что-то меня выделенное смутило. Фряха — это минималистичный дистрибутив линукс, я так понимаю? Ничего, что система называется FreeBSD?
Ничего, что она принадлежит к *nix семейству? Даже на один график поместили.
)?
