 |
一,有分析人士和微软观察员表示,计算漏洞数并不是非常好的衡量标准。
"我觉的用漏洞数量来衡量系统安全性是不妥当的,"专门研究微软公司的研究机构Directions on Microsoft公司分析师迈克尔.彻里(Michael Cherry)表示。"如果我们总是不断纠缠于漏洞数目,我们几乎等于是变相地施压力于他们来伪造这一数字,不报告系统漏洞情况。我希望我们能有一个比漏洞数量更好的衡量标准。"
迈克尔.彻里指出:不管怎么说,漏洞数量的计算多少带有些主观性。"让我们假设您正在对一个代码模块进行操作。您进入这个模块来修复A问题,但当您修复A问题的同时您发现了B问题。那么这种情况下您是算做一个问题还是两个?我可以拿些案例来说明这两种算法都是可能的"。
二是,Vista发布时间不长,人们对它的了解还不够深入。
Microsoft Watch编辑乔.威尔科克斯(Joe Wilcox)表示:操作系统卫士中可能针对Linux发行版和Mac OS X的更多些。而越多的卫士,当然检查出来的问题也就更多了。
迈克尔.彻里表示:从一份6个月安全评估中是难以看出一种趋势的。多数操作系统都有10年生命周期,且到目前为止Vista的部署还十分有限。
三,漏洞数目可能与实际不符。
安全博客赖安.纳瑞恩(Ryan Naraine)在6月20日在他的博客中写道:微软一直在暗地里修复在其公告上漏洞。他认为这是一种极具争议性做法,它很大地减少公开记录在案的bug数目并影响到补丁管理以及部署决策。"
不过,Directions on Microsoft公司的彻里对此并不认同:"我不理解这有什么可意外的。微软不断发现代码中问题,并不断地加以修复。假如没有人报告过这一问题,由此我并未看出有什么损害,为什么他们必须告诉人们漏洞所在。而当他们被加入到补丁包时,就等于告诉了我们漏洞情况。补丁包中有一份它所修复的补丁列表。这其中总会存在一些您从未听过的部分。
