Перейти к содержанию

Рейтинги безопасности по уязвимостям программных систем

Прeждe всeгo пoтoму, чтo прoцeсс oбнaружeния уязвимoстeй – нестабильный, а сами уязвимости – весьма различны по своему влиянию на степень безопасности использования программной системы. Такой показатель, как число обнаруженных за некоторый промежуток времени уязвимостей – очень слабо связан с реальной безопасностью использования той или иной системы, даже в случае, если речь идёт о ситуации “при прочих равных”, например, когда сравнивают два распространённых браузера. Сейчас в СМИ очередная волна сравнения различных программных систем по числу обнаруженных уязвимостей. (Это если опустить тот факт, что корректное определение понятия “безопасности” вообще весьма сложно для программного продукта.) Почему это так? Число обнаруженных уязвимостей может, разве что, косвенно свидетельствовать о том, какая система более популярна у исследователей. А также – не существует универсального “закона сохранения уязвимостей”. Однако это неправильно. При этом во многих публикациях системы, с меньшим числом обнаруженных уязвимостей называют “более безопасными”, сравнивая их с теми системами, где уязвимостей нашли больше.