japan.linux.com | 報告された弱点と実際のセキュリティはFirefoxの優位性を示している
Symantecが19日に発表したレポートによると、Internet ExplorerよりもMozillaブラウザのほうが弱点が多いという。Symantecの「Internet Security Threat Report」は、2005年の1月から6月までのセキュリティ動向を報告している。この期間、ベンダによって確認された弱点がFirefoxには25個あったのに対し、MicrosoftのInternet Explorerには13個しかなかったそうだ。
記事でも述べられているし、私のblogでも散々書いてきた事ですが、数での比較は無意味。
安全性を唱うなら、脆弱性に対する対応の早さが肝です。また、その対応を助ける開発体制やレポート受け取る窓口の広さも重要。
まあ、まずこの数の差は単純に開発のペースの違いじゃないかと思います。Firefoxは機能の添削やパフォーマンスの向上等を常に行なっているため、IEに比べてコードの変動が大きいです。それ故に不具合を含んでしまう可能性が高まり、現状において数が多いという事になっています。またリリース単位がIEに比べて細かい点も、数に差を付ける要因となっているでしょう。例えばIEはバージョンアップのペースは非常に遅く、Windowsアップデートでの脆弱性修正のみが現状ではメインになっており、次期リリースまでは大々的なバージョンアップは行なわれません(目新しい機能の追加や性能改善等も次まではありません)。
更にこの数の問題、ベンダ側で見付けた脆弱性の数が基準になっているという点。つまりはFirefox開発者が見付けた脆弱性もカウントされているわけです。当然そうなると「脆弱性の修正を自主的にやってます」的なアピールになるので、記事ではそれを「優位性」と曰っているわけです。ここでプロプラなソフトとオープンなソフトの違いが出ます。プロプラは脆弱性は隠せますが、オープンなものはそうはいきません。
きちんと直したもの、ベンダで把握しているもの、というのはあまり問題になりません。前者はまったくもって問題にならず、むしろ賞賛すべきものです。きちんと直したんだから偉い、無論直したものに関してはMSも評価に値します。ただ直してないもの、直すのに時間がかかりすぎているもの、隠蔽しているものに関しては問題があります。この記事ではMSはそれらが多い、といっているわけです。その点は同意します。
数は問題じゃなくて、実際にきちんと直しているかどうかが最大の問題です。まだ脆弱性を減らすための自助努力を行なっているかどうかも問題です。こうして「数」が問題視されると、どうしてもプロプラなベンダ側は脆弱性を隠したがります。だから数を問題にすると結果的に困るのはプロプラなソフトを使っているユーザーになるわけです。
MSから頼まれているのかどうか知りませんが、媚売るような短絡的な記事を書いてるライターには考えを改めていただきたい。MSを腐らせるのはそういう煽り記事から発生した歪んだMS信奉だという事に気付け。
