誰的安全補丁快 蘋果還是微軟?

【大紀元4月2日訊】(大紀元記者邱均正編譯報導)大型軟件出現安全性漏洞已經成為眾多的軟件使用者最關心的事了。因為嚴重的安全漏洞可能造成個人與商業資料洩、甚至造成系統的損毀。最近瑞士的一項獨立研究針對兩大軟件供應商﹕蘋果與微軟進行了一項安全漏洞的補丁比較，看看這兩大業者對漏洞處理使否如它們廣告所說的一樣安全。

頻果電腦的一個取笑廣告暗示它們的軟件比微軟的還要安全，不過，根據最近由黑帽(Black Hat)會議所公佈的研究結果，這可能與事實不符。

來自瑞士技術研究中心的研究人員研究在過去6年裡兩家公司產品漏洞在被發現後一天內提供有效補丁的總次數，可以說明雙方所說的零時差(zero-day)補丁的速度。

參與此計畫的研究人員史堤芬-弗雷(Stefan Frei)說：根據國家漏洞數據庫使用的分類，對影響微軟的658個漏洞與蘋果的738個漏洞進行分析，只研究高度與中度具危險的臭蟲(bugs)。他們的發現與一般大眾的認知剛好相反，蘋果的產品安全性較高，但是補丁發佈卻是落後微軟。

弗雷說：”蘋果在2005年前比率一直低於20”，而從那個時候之後，就常常高過這個數字。如果把蘋果與微軟來做比較，發現蘋果的安全漏洞沒有對應補丁的數量比微軟還要高。當安全漏洞被回報時，軟件廠商能提供補丁解決問題是很好的，因為駭客(hacker)會嘗試找出安全漏洞點以便撰寫惡意軟件來攻擊一部機器。

當臭蟲被詳細公開後，要軟件廠商是需要透過公司內部或外部安全分析師取得相關資訊才能提供對應的補丁，否則廠商就必須感盡快的製作補丁，不過這個過程可能很攏長，而且需要嚴格的測試才能確保補丁不會與其他軟件發生衝突。他說：蘋果在2003年稍晚才開始無時差漏洞補丁的發佈。

我們認為蘋果剛開始的漏洞比較少，只是讓人感到驚訝或不那麼快速或不那麼引起注意而已，看來微軟早期與一些安全組織有較好的關係。弗雷說：在過去幾年，微軟嘗試培養與安全組織較密切的關係，且鼓勵研究人員對軟件問題要更足智多謀。而蘋果似乎沒有採取相同的方式，”據我們所發現，這已經對蘋果電腦產生傷害”。

好奇的是，雙方在安全漏洞的無時差補丁發佈都好像只落在主要產品發表前的6個月內，這樣的趨勢在2004與2005年是最顯著，弗雷認為在大型軟件的產出是需要耗用很大的工程資源。

微軟的安全與研發主管安德魯-柯司曼(Andrew Cushman)說：他不知道造成這種趨勢的真正原因是甚麼，但是在2004與2005年，微軟的Office系列軟件出現了些不成熟的安全漏洞，是因為沒有被事先發現，所以這可能是造成臭蟲沒有補丁比例很高的原因。

這項研究證明微軟在過去幾年加強安全的主張，微軟柯司曼開玩笑的問弗雷說：”微軟有贊助這個研究嗎？” 弗雷回答：這是一個完全獨立的學術研究。(http://www.dajiyuan.com)