path: root/danish/News/2004/20040406.wml

<define-tag pagetitle>Fælles udtalelse om sikkerhed i GNU/Linux</define-tag>
<define-tag release_date>2004-04-04</define-tag>
#use wml::debian::news
#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12"

<h3>Kort sammendrag</h3>

<p>GNU/Linux-leverandørerne Debian, Mandrake, Red Hat og SUSE er gået sammen
om en fælles udtalelse om Forrester-rapporten med titlen "Is Linux more Secure 
than Windows?" ("Er Linux mere sikker end Windows?").  På trods af at rapporten
hævder at indeholde en kvalitativ vurdering af leverandørreaktioner på 
alvorlige sårbarheder, behandler den alle sårbarheder som ligeværdige, 
uafhængigt af risikoen for brugerne.  Dermed har de konklusioner som Forrester 
drager, ekstremt begrænset værdi i den virkelige verden, for kunder der 
vurderer hvor hurtigt alvorlige sårbarheder i praksis bliver rettet.</p>

<h3>Hele udtalelsen</h3>

<p>Sikkerhedsløsningsholdene hos GNU/Linux-distributørerene Debian, 
Mandrakesoft, Red Hat og SUSE har hjulpet Forrester med at indsamle og 
korrigere oplysninger om sårbarheder i deres produkter.  De indsamlede 
oplysninger blev anvendt af Forrester i en rapport der fik overskriften "Is 
Linux more secure than Windows?" ("Er Linux mere sikker end Windows?").  
Selvom sårbarhedsoplysninger i forbindelse med GNU/Linux, som er grundlaget for
rapporten betragtes som værende tilstrækkelig korrekt og anvendeligt, er 
Debian, Mandrakesoft, Red Hat og SUSE, herefter benævnt "vi", bekymrede for 
korrektheden af rapportens konklusioner.</p>

<p>Vi mener at det er i vores brugeres og fri software-fællesskabets interesse,
at vi udsender en fælles udtalelse om Forresters rapport:</p>

<p>I februar 2004 blev vi kontaktet af Forrester, der bad om hjælp til at 
forbedre deres rå data.  Forrester indsamlede oplysninger om sårbarheder som
påvirkede GNU/Linux i en periode på et år (juni 2002 til maj 2003) og så på
hvor mange dage det tog os at stille rettelser til rådighed for vores brugere.
Der er blevet lagt et stort arbejde i ikke blot at sikre, at de underliggende
oplysninger om sårbarhederne var korrekte, men også at forklare den
særlige tekniske og organisatoriske omhu man har indenfor professionel fri
softwares sikkerhedsområde.  Denne ekspertise er vores brugere særdeles 
tilfredse med, da det føjer en stor værdi til vores produkter, men vi kan se at
det meste af denne værdi er blevet ignoreret i metoderne til analysernig af
sårbarhedsoplysningerne, men fejlagtige konklussioner til følge.</p>

<p>Vores sikkerhedsløsningshold og sikkerhedsspecialiserede organisationer med
et agtværdigt omdømme (eksempelvis CERT/DHS, BSI, NIST, NISCC) udveksler 
oplysninger om sårbarheder og samarbejder om metoder og procedurer til at
reagere på dem.  Alle sårbarheder bliver indviduelt undersøgt og evalueret; 
sårbarhedens alvor afgøres dernæst af hvert individuelt hold, baseret på risiko
og virkning, foruden andre, primært tekniske, særlige egenskaber ved svagheden
og den påvirkede software.  Alvoren anvendes efterfølgende til at afgøre 
hvilken prioritet udarbejdelsen af en rettelse til sårbarheden skal have, i
forhold til andre sårbarheder i vores aktuelle køer.  Vores brugere ved, at ved
kritiske fejl kan vi reagere i løbet af få timer.  Denne prioritering betyder
at problemer som er mindre alvorlige ofte bliver forsinket for at mere vigtige
problemer kan blive løst først.</p>

<p>Selvom Forresters rapport hævder at gøre det, tages dette ikke i betragtning
ved målingen af forbrugt tid fra en sikkerhedsfejl kommer til offentlighedens
kendskab, til en rettelse af tilgængelige fra leverandøren.  Rapporten giver
blot et simpelt gennemsnit for hver af leverandørerne, "All/Distribution days
of risk" ("Alle/distributionens risikodage"), hvilket ikke giver et entydigt
billede af den virkelighed vores brugere oplevere.  Gennemsnittet behandler
fejlagtigt alle sårbarheder som værende ens, uafhængigt af den risiko de 
indebærer.  Ikke alle sårbarheder har den samme virkning på alle brugere.  Man
har forsøgt at tildele en alvorhedsgrad til sårbarhederne ved hjælp af 
oplysninger fra en tredjepart, men klassificeringen af sårbarheder med 
"høj alvorhedsgrad" er ikke tilstrækkelig: Dét, at en bestemt 
sikkerhedsorganisation offentliggør en sårbarhed, medfører ikke nødvendigvis at 
sårbarheden er alvorlig - tilsvarende er evnen til at udnytte en svaghed over
et (fjent) netværk ofte irrelevant i forhold til sårbarhedens alvorhedsgrad.</p>

<p>Vi mener at rapporten ikke behandler distributører af fri software og den
eneste distributør af lukket kode på den samme måde.  Fri software er kendt for
sin mangfoldighed og dets frihed til at vælge mellem de standarder, den 
definerer.  Mange implementeringer af disse standarder tilbydes typisk til brug
på både servere og desktop-maskiner.  Kildekodens åbenhed, gennemskuelighed og 
sporbarhed er ekstra værdi, foruden det større udvalg af tilgængelige 
softwarepakker.  Slutteligt bør påstanden om, at en softwareleverandør har 
rettet 100 procent af deres fejl i rapporteringsperioden, være et incitament
til en nærmere undersøgelse af de konklussioner rapporten præsenterer.</p>

<p>underskrevet,
<br>Noah Meyerhans, Debian
<br>Vincent Danen, Mandrakesoft
<br>Mark J Cox, Red Hat
<br>Roman Drahtmüller, SUSE</p>

<h3>Yderligere oplysninger</h3>

<p>Javier Fernández-Sanguino Peña 
<a href="https://people.debian.org/~jfs/debconf3/security/data/">udarbejdede</a>
en <a href="https://lists.debian.org/debian-security-0112/msg00257.html">\
undersøgelse</a> i 2001, og opdagede at det i gennemsnit tog Debians 
sikkerhedsteam 35 dage at rette sårbarheder offentliggjort på Bugtraq-listen.
Dog blev over 50 procent af sårbarhederne rettet indenfor ti dage, og over
15 procent af dem blev rettet samme dag som bulletinen blev udsendt!  I denne
analyse blev alle sårbarheder dog behandlet på samme måde.</p>

<p>Han har foretaget undersøgelsen igen, baseret på sårbarheder opdaget mellem
1. juni 2002 og 31. maj 2003, og er kommet frem til at medianværdien på 
forsinkelsen mellem offentliggørelse og udsendelse af en bulletin indeholdende
en rettelse var 13,5 dage (gennemsnittet er 31,10 dage).  Igen, i denne analyse
blev bulletinerne ikke klassificeret med forskellige prioriteringer.</p>