大約一年前，Jonathan Hassell寫了一篇專欄文章，介紹Windows和Linux這兩種平臺(tái)中的哪一個(gè)具備更多功能豐富的安全工具。這一優(yōu)勢(shì)值得稱贊。但是，擁有優(yōu)秀的安全工具只是一部分。鑒于最近發(fā)生的事件，現(xiàn)在更迫切和更重要的問題也許是哪一種平臺(tái)更容易打補(bǔ)丁。
“風(fēng)險(xiǎn)日”的定義是公開宣布一個(gè)安全漏洞和廠商首次發(fā)布安全補(bǔ)丁之間的日子。研究公司Forrester Research今年春季發(fā)布了一篇研究報(bào)告，介紹了如何衡量風(fēng)險(xiǎn)日、安全漏洞實(shí)際修復(fù)的比例和美國國家標(biāo)準(zhǔn)與技術(shù)研究所ICAT計(jì)劃列為高等級(jí)安全漏洞的比例。
位于馬薩諸塞州劍橋的Forrester研究公司發(fā)現(xiàn)，微軟在快速發(fā)布安全補(bǔ)丁方面做得非常好，并且做出了全面的努力修復(fù)所有的安全漏洞。不過，微軟僅以微弱的優(yōu)勢(shì)領(lǐng)先于Linux廠商。在這篇研究報(bào)告的調(diào)查期內(nèi)，微軟修復(fù)了全部的安全漏洞，比例是100%。主要Linux廠商SuSE、Red Hat和Debian的得分是97至99%。Forrester指出，所有的操作系統(tǒng)在使用安全補(bǔ)丁的時(shí)候都是同樣容易的。Forrester高級(jí)分析師Laura Koetzle發(fā)表了一句值得引用的話說:“底線?這些平臺(tái)中的任何一個(gè)平臺(tái)都能夠安全地運(yùn)行?！?br>關(guān)于Windows與Linux對(duì)比哪一種操作系統(tǒng)存在更多的安全漏洞，最近流傳著很多很多的報(bào)道，其中有些報(bào)道在內(nèi)容上是相互矛盾的。因此，要得到真正的、嚴(yán)格對(duì)比的結(jié)果是很難的，因?yàn)長inux軟件的發(fā)布版有很多的版本，所有的版本都使用不同的軟件。你計(jì)算過Evolution軟件中的安全漏洞和Novell公司的Linux桌面產(chǎn)品中的安全漏洞嗎?或者你計(jì)算過Linux整體的安全漏洞嗎?一種發(fā)布版Linux默認(rèn)安裝后存在一個(gè)安全漏洞，而其它版本卻沒有這個(gè)安全漏洞，這該如何計(jì)算?你曾對(duì)照微軟Windows內(nèi)核產(chǎn)品計(jì)算過IIS(網(wǎng)絡(luò)信息服務(wù)器)的安全漏洞嗎?Office的問題如何計(jì)算?
這是一種答案模糊不清的問題。這個(gè)問題在短時(shí)間內(nèi)是不可能搞清楚的。因此，與其爭(zhēng)論Windows與開源軟件的對(duì)比，還不如討論一下這個(gè)問題的實(shí)質(zhì)，設(shè)法研究出一種結(jié)論并且應(yīng)用我們提出的結(jié)論。對(duì)于我來說，這個(gè)問題歸結(jié)為兩個(gè)問題:
·哪一種平臺(tái)需要使用更多的補(bǔ)丁?
·在那個(gè)平臺(tái)上，打補(bǔ)丁是不是很容易?
對(duì)于第一個(gè)問題，我的答案的是Windows，無論你怎樣看都是如此。雖然有關(guān)安全漏洞的數(shù)量還存在爭(zhēng)議，但是，大多數(shù)企業(yè)環(huán)境都采用Windows操作系統(tǒng)，即使是幾個(gè)安全漏洞也會(huì)需要企業(yè)大量地應(yīng)用補(bǔ)丁。這個(gè)問題可能是安全漏洞不多，但是Windows PC的數(shù)量太多，或者是安全漏洞數(shù)量多，Windows PC的數(shù)量也多。無論是屬于哪一種情況，Windows都需要使用更多的補(bǔ)丁。
至于第二個(gè)問題，微軟已經(jīng)顯著改善了它過去使用的發(fā)布補(bǔ)丁的方式。你要直接管理軟件更新嗎?安裝Windows服務(wù)器更新服務(wù)，批準(zhǔn)補(bǔ)丁服務(wù)并且設(shè)置一個(gè)組策略對(duì)象讓你的計(jì)算機(jī)指向那臺(tái)機(jī)器。你可以把目標(biāo)設(shè)置為幾臺(tái)計(jì)算機(jī)或者幾組計(jì)算機(jī)，或者設(shè)置分級(jí)配置。一旦你設(shè)置完畢，這個(gè)事情就非常容易了。當(dāng)然，微軟總是為小型網(wǎng)絡(luò)和家庭用戶提供微軟的升級(jí)軟件，而且用于大型網(wǎng)絡(luò)的SMS 2003安全補(bǔ)丁程序管理并不只是修復(fù)Windows和Office的漏洞。補(bǔ)丁應(yīng)用可以是很方便的。在Linux方面，有沒有發(fā)布補(bǔ)丁的機(jī)制?使用補(bǔ)丁是這樣方便嗎?
我對(duì)這個(gè)問題的答案是:我不知道。我對(duì)此表示懷疑。