Habe ich das richtig verstanden, dass sie quasi alle über 40k Pakete zusammengefasst als „eine Software namens Debian“ zusammengefasst, und das ganze Dingens mit 319 CVEs auf Platz 2 gestellt haben? Ich finde, auf durchschnittliche Fehler pro Paket heruntergerechnet, würde Debian dann doch ziemlich gut dastehen: davon ausgehend, dass eine Grundinstallation um die 300 Pakete beinhaltet, und der Einfachheit halber mal von glatt 40k Paketen ausgehend, komme ich auf 2,4 CVEs für eine Grundinstallation – leider haben sie’s versäumt, im Artikel die Zahl der CVEs für eine Windows-Grundinstallation anzugeben, so dass man da nicht vergleichen kann
Man sieht, doof Zahlen zusammenstellen damit das genehme Ergebnis rauskommt (oder doof Zahlen zusammenstellen und nicht auf die Idee kommen, zu schauen, was diese wohl überhaupt aussagen mögen – ich weiß nicht, was schlimmer für eine vorgebliche Fachzeitschrift ist …) kann jeder – sogar ich. Und eigentlich ist dieser Beitrag damit schon mehr Aufmerksamkeit, als betreffender Artikel der ehemaligen Computerzeitschrift verdient. Dieser Thread erst recht. Aber wenn ich schon mal dabei bin:
Das Problem wird Lieschen Müller (stellvertretend für die augenscheinliche Zielgruppe dieser Seite) sein, die mich dann demnächst an der Bushalte wieder anquatschen wird: „Waaas? Du nutzt Debian? Das ist doch total unsicher!!k Das stand in der
BIL… CHIP!“ – naja, die Sache mit Windmühlen und so. Ist nicht wichtig, fahren wir lieber unser tägliches Update, um die Sicherheitspatches für die Lücke, die vor drei Tagen publik wurde und deren Fix vom Upstream vor 3h hochgeladen wurde, zu beheben, während Lieschen mit ihrer sicheren Software ja ruhig noch bis zum nächsten Patchday (wenn der Entwickler es denn geschafft hat, sich bis dahin zu bewegen – sonst halt zum übernächsten Patchday, wenn’s bis dahin fertig sein sollte …) warten kann.
Nur so meine Gedanken dazu. Die Sache mit Android kann man ebenfalls hinterfragen. Ich sehe da nicht mal ’ne Versionsangabe, was davon herstellerspezifische Anpassungen oder vorinstallierte Bloat- und Trackingapps betraf, fehlt auch, und so Kleinigkeiten.
Falls hier, unerwarteterweise, jemand von der Firma da mitlesen sollte: wie wär’s, mal die durchschnittliche Dauer vom Bekanntwerden bis zum Beheben einer Sicherheitslücke zum Vergleich heranzuziehen, und dabei Software gegen Software zu stellen, statt 39.681 dem Kriterium nach einwandfreie Pakete unter den Tisch fallen zu lassen (von 40k ausgehend, genaue Zahlen bitte selbst in Erfahrung bringen, und davon ausgehend, dass jedes CVE ein anderes Paket betraf)? Oder von mir aus auch OS gegen OS, jeweils in der aktuellen Minimalinstallation? Bei den Androiden also die vom AOSP-Android (im Emulator, um hardware(hersteller)spezifische Sachen auszuschließen), bei Distris also eine aktuelle Minimalinstallation, bei Windows also eine aktuelle Win10-Minimalinstallation, etc.? Was spräche dagegen? Zu hoch für die Zielgruppe, zu hoch für den Artikelschreiberling oder den Werbungsschaltenden nicht genehm?
[scnr]