Dat blijkt uit een rapport over het aantal beveiligingslekken in het eerste half jaar van 2008 dat is samengesteld door Jeff Jones, Security Guy en directeur Trustworthy Computing bij Microsoft.

Minder lekken dan Linux

Het slechtst scoort RedHat Linux dat 292 problemen te verwerken kreeg in de eerste helft van dit jaar, daarna Apple, dat 222 pleisters moest plakken. Beter was het gesteld met Ubuntu Linux dat 153 fouten moest corrigeren. Toch kon het niet tippen aan Windows dat met 58 gaten de gebruiker de meeste rust gunde.

Daarbij valt wel op dat de spelers elkaar niet veel ontlopen als het op grotere lekken aankomt, want op Apple en Linux worden relatief veel lekken met middelgrote risico aangetroffen en gedicht. Volgens Jones zou het wegen van de lekken nog steeds dezelfde top 4 geven.

Verschil in codebase

Opvallend in de cijfers is het fors betere presteren van Ubuntu ten opzichte van Linux-broeder RedHat. "Ik denk dat je hier veel kunt toeschrijven aan de verschillen in broncode", zegt Roger Halbheer, Chief Security Advisor voor EMEA bij Microsoft. Hij wijst erop dat RedHat eenmaal langer met dezelfde code doorwerkt en een eigen lijn aan code onderhoudt, terwijl bij Ubuntu sneller code uit de gemeenschap komt.

Halbheer wil niet verder ingaan op de stammenstrijd bij de open-sourcegemeenschap of het beleid dat Apple voert, maar wijst er wel op dat zijn bedrijf sinds de memo van Gates grote veranderingen heeft doorgemaakt. "We hebben veel veranderd en sinds de introductie van Vista is de beveiliging echt beter geregeld."

Sneller gepatcht

Dat vertrouwen heeft het bedrijf ook over de snelheid, waarmee ze lekken dichten. Gemiddeld besteedt men in Redmond een kleine 25 dagen aan een probleem, terwijl Ubuntu er 72 nodig heeft. Apple heeft gemiddeld zo'n 98 dagen nodig, terwijl RedHat zich 105 dagen gunt.

Microsoft vermeldt wel eerlijk dat bij ernstige lekken Linux beter scoort dan bijvoorbeeld Apple. De makers van Leopard hebben bij een meting afgewogen op ernst gemiddeld 82 dagen nodig, Redhat 62 en Ubuntu 51. Toch voert ook hier de marktleider de lijst in positieve zin aan.

Of het bedrijf daarmee ook echt veiligere software maakt, blijft onduidelijk. Een expert op het gebied van vulnerability management wijst op het feit dat er kennelijk geen laag-risico problemen worden gedicht en noemt dat "onwaarschijnlijk". Ook wijst hij erop dat Microsoft vaak na het repareren van het lek naar buiten treedt en in het verleden nog wel eens lekken niet gedicht heeft omdat er geen exploit was. "Toch stel ik wel vast dat het bedrijf het de laatste jaren beter is gaan doen."