Microsoft houdt sommige bugs inderdaad stil

Volgens Mike Reavy is dat al langer praktijk bij Microsoft. Als er lekken geconstateerd worden in een product met dezelfde ernst die op vergelijkbare wijze kunnen worden misbruikt en op dezelfde wijze zijn te pareren, worden die niet allemaal apart vermeld. Overigens doet Microsoft dat niet als enige. Van Adobe is bijvoorbeeld bekend dat bugs die tijdens intern testen worden gevonden, niet als bugs gerapporteerd worden.

Core Security Technologies, dat twee van de ‘stille’ patches begin mei constateerde, vindt dat stilhouden van patches ongewenst. Wanneer voor beheerders niet duidelijk is dat er met sommige patches meerdere lekken worden gedicht, missen ze essentiële informatie om prioriteiten te stellen bij het aanbrengen van de patches. Een patch die drie aanvalsroutes dekt, zal immers een hogere prioriteit krijgen dan eentje die er maar een dekt.

Daarnaast betekent Microsofts beleid dat alle vergelijkingen tussen producten op basis van gerapporteerde lekken naar de vuilnisbak kunnen worden verwezen. Mike Reavy is daar niet echt rouwig om. Tellen van bugs is volgens hem niet meer dan ‘boekhouden’. Bovendien: “Als je 200 bugs vindt die met het wijzigen van één regel code te verhelpen zijn, zijn dat dan 200 kwetsbaarheden, of 1?”

Reavy staat niet alleen in die mening. Hoewel het aantal gerapporteerde bugs wel degelijk een indicatie is voor de veiligheid van een bepaalde toepassing, zou je - om er conclusies aan te verbinden over de kwaliteit van de software - minimaal moeten weten hoeveel regels code de toepassing kent waarin de bugs zijn gevonden. En nog belangrijker is, hoeveel tijd de producent van de software nodig heeft om gemelde lekken te dichten.

Saillant detail is overigens wel dat Microsoft in het verleden bij herhaling

browsers

en

besturingssystemen

de maat heeft genomen op basis van het aantal gerapporteerde bugs. Dat Internet Explorer en Windows Vista er daarbij beter uitkwamen dan de concurrentie, wordt met de wetenschap van nu een stuk minder relevant.