2015年不同平台上公布的公共漏洞和暴露(CVE)数量显示,苹果是该年警报最多的操作系统,很多新闻头条幸灾乐祸地称 OS X是“最脆弱”的操作系统。
安全漏洞信息源“CVE Details”网站显示:Mac OS X(所有版本)2015年共有384个CVE警报,iOS有375个,Flash 314个。Windows的CVE按平台划分,排在10到18位,但微软最烂的产品IE竟然只有231个CVE曝出。
然而,出于多种原因,就此嘲笑苹果是不对的。
首先,CVE Details的调查并没有根据漏洞严重性进行区分。低风险漏洞(例如:只能被具有管理员权限的本地合法用户利用的东西)与能被轻易利用的远程代码执行漏洞就完全不是一个数量级。
其次,很多安全漏洞都是跨平台的。其中一个极好的例子就是libpng,从浏览器到智能手表,无处不在。2015年可能只有4个警报,但很有可能从许多其他厂商那里招来大量补丁。
再次,CVE Details在CVE的项目归属上似乎有些武断。比如,一堆LibreOffice/OpenOffice漏洞,还有甲骨文MySQL漏洞都被归到了Debian的CVE里。
最后,CVE只认已公开的漏洞,被安全机构或黑帽子黑客隐而不发的漏洞就不计算在内了。把CVE变成某种形式的市场营销记分卡不是什么好事。
数CVE个数对衡量安全毫无益处。但人们喜欢数字,无论这些数字有多无聊。无意义的排行榜不过是愚蠢的幸灾乐祸。
按厂商计的话,CVE Details前50强里,微软和Adobe的CVE数是比苹果还多的。但即使是这个也是有问题的计数。比如说,将总结结果限制在前50列表的话,对思科就太温柔了。它的IOS只计了84个漏洞,但纵观其全部产品,2015思科很忙,要收录488个CVE呢。
在没被认为“不如苹果安全”上思科理应受到褒奖。就像大多数主流厂商一样,思科努力发现并修复其漏洞,积极响应提交给他们的漏洞报告。