Jeff Jones ได้ขยายโครงการของเขาเพื่อนับข้อบกพร่องด้านความปลอดภัย (รายงานต่อสาธารณะและแก้ไขแล้ว) ในการดำเนินงานเวิร์กสเตชันหลัก ระบบและตัวเลขล่าสุดของเขาแสดงให้เห็นว่า Windows Vista มีโปรไฟล์ความปลอดภัยที่ดีที่สุดเมื่อเทียบกับ Linux รุ่นหลัก การแจกแจง
ออร์แลนโด, ฟลอริดา -- Jeff Jones ได้ขยายโครงการของเขาเพื่อนับข้อบกพร่องด้านความปลอดภัย (รายงานต่อสาธารณะและแก้ไขแล้ว) ในเวิร์กสเตชันหลัก ระบบปฏิบัติการและตัวเลขล่าสุดของเขาแสดงให้เห็นว่า Windows Vista มีโปรไฟล์ความปลอดภัยที่ดีที่สุดเมื่อเทียบกับ Linux รุ่นหลัก การแจกแจง
Jeff Jones ผู้อำนวยการฝ่ายกลยุทธ์ด้านความปลอดภัยในกลุ่ม Trustworthy Computing ของ Microsoft เป็นผู้นำการอภิปราย TechEd 2007 เกี่ยวกับตัวชี้วัดและเทคนิคที่ใช้ในการ ติดตามช่องโหว่และเสนอภาพรวมของการ์ดรายงานที่กำลังจะมีขึ้น ซึ่งจะเปรียบเทียบข้อบกพร่องที่พบ/แก้ไขในช่วงหกเดือนแรกของ Vista บน ทำตลาดเทียบกับ Windows XP, Red Hat Enterprise Linux 4 WS (ตัวเต็ม), Ubuntu 6.06 LTS (ตัวเต็ม), Novell SUSE Linux Enteprise Desktop 10 (ตัวเต็ม) และ Mac OS X 10.4 (เสือ).
นี่คือแผนภูมิจาก Jones พร้อมผลลัพธ์ ซึ่งจะเปิดเผยทั้งหมดภายในไม่กี่สัปดาห์:
Jones ใช้ข้อมูลจากฐานข้อมูลสาธารณะหลายแห่งและกระดานข่าวความปลอดภัยของผู้ขายเพื่อติดตาม "วันที่มีความเสี่ยง" และข้อบกพร่องที่เกิดขึ้นจริงจะถูกรายงานและแก้ไขเพื่อพิจารณาว่าระบบปฏิบัติการเวิร์กสเตชันใดที่สามารถพิจารณาได้ ปลอดภัยยิ่งขึ้น
[ ดู: การ์ดรายงาน 90 วัน: Windows Vista ทำได้ดีกว่าคู่แข่ง ]
เขาอธิบายความยากลำบากและอันตรายที่เกี่ยวข้องกับการพยายามให้ได้ภาพข้อบกพร่องที่แม่นยำ เนื่องจากวิธีการต่างๆ ที่ผู้ขายเปิดเผยข้อมูลข้อบกพร่องในคำแนะนำและแนะนำว่า ของ NIST NVD (ฐานข้อมูลช่องโหว่แห่งชาติ) ทำหน้าที่รวบรวมข้อมูลข้อบกพร่องอย่างทั่วถึงได้ดีที่สุด ถึงกระนั้น เขาเตือนไม่ให้ใช้ NVD เป็นฐานข้อมูลที่ไม่สามารถเข้าใจผิดได้ เนื่องจาก "แม่นยำสำหรับบางสิ่งเท่านั้น"
โจนส์ยังได้กล่าวถึงปัญหาบางประการเกี่ยวกับการจัดอันดับความรุนแรงของข้อบกพร่องที่รายงาน เนื่องจากผู้ขายทั้งหมดใช้ระบบการให้คะแนนที่แตกต่างกัน ผู้ขายบางราย เช่น Apple ไม่มีการให้คะแนนใดๆ เลย ทำให้เกมการนับ/การให้คะแนนมีการปรับเปลี่ยนแบบอัตนัยเล็กน้อย
ในระหว่างช่วงถามตอบ โจนส์ให้เบาะแสว่าทำไม Microsoft ไม่ได้ใช้ CVSS (Common Vulnerability Scoring System) เพื่อประเมินข้อบกพร่องในกระดานข่าว โดยอธิบายว่าวิธีการนี้ทำให้เกิดความสับสน
เขาชี้แจงชัดเจนว่าเขากำลังแสดงความคิดเห็นส่วนตัว (ไม่ใช่ความคิดเห็นอย่างเป็นทางการของ Microsoft เกี่ยวกับ CVSS) ก่อนที่จะแยกสิ่งที่เขาออกจากกัน มองว่าเป็นจุดอ่อนในระบบที่ Cisco, Oracle และการวิจัยช่องโหว่ชื่อดังหลายแห่งใช้อยู่ในปัจจุบัน บริษัท
“ฉันไม่เห็นด้วยกับวิธีการทำงานของ CVSS” โจนส์กล่าว “ผมเชื่อว่าระบบการให้คะแนนควรมีประโยชน์ในทางปฏิบัติสำหรับการตัดสินใจ และ CVSS ไม่ได้ทำเช่นนั้นในทุกกรณี” เขากล่าวเสริม
โดยเฉพาะอย่างยิ่ง Jones ชี้ให้เห็นว่าคะแนนระดับกลางที่เสนอโดย CVSS สามารถตีความได้แตกต่างออกไป "ฉันคิดว่า CVSS 10.0 น่าจะเป็น 10.0 และ 2.0 หรือ 3.0 น่าจะเป็นปัญหาที่มีความเสี่ยงต่ำ แต่ทุกที่ที่อยู่ตรงกลาง มันจะกลายเป็นความชัดเจนและสับสนน้อยลงมาก” เขากล่าวเสริม