Windows 漏洞少於 Linux ？

保安軟體公司GFI最近發表報告，列出2014年漏洞數量最多的作業系統。然而文章內容錯漏百出，更引發網民有關 Windows 還是 Linux 誰較安全的爭論。
GFI 整理並引用美國國家漏洞資料庫(National Vulnerability Database, NVD)的漏洞報告，指出漏洞最多前三名的作業系統分別是Apple Mac OS X、Apple iOS及 Linux Kernel，最後才是 Windows。但細心的讀者會馬上發現，這篇報告未曾指出Mac OS X、iOS和 Linux 的實際版本為何，並將所有版本整合在一起統計。反觀 Windows 的計算則區分為不同版本，分別有Vista、7、8、8.1、RT，Server 2008，也忽略了已不受支援的 Windows XP。如果根據列表中不分版本的總數計算，漏洞最多身其實是Windows(248)，其次是Apple Mac OS X(147)、Apple iOS(127)，最後才是 Linux Kernel(119)。Windows 的248來自表中的38+36+38+36+36+34+30，GCI所宣稱的「漏洞數目最多的排名」其實只是列表中的排行先後次序，與漏洞多少的排名無關。

對於網友的質疑，GFI軟體公司產品經理 Cristian Florian 回應表示，作業系統差異性很大，因此原本就難以提出一個可以讓大家都同意的分類。以Linux為例，每個不同的 Linux 版本，都可獨立更新 Linux 核心，因此很難將 Linux 核心漏洞等同於個別的 Linux 版本。其後 Cristian Florian 就列出根據不同 Linux 版本的個別漏洞數目，與 Windows 進行比較。
Ubuntu
39 total vulnerabilities 7 high severity 27 medium severity 5 low severity
Red Hat Enterprise Linux
27 total vulnerabilities 6 high severity 17 medium severity 4 low severity
openSUSE
20 total vulnerabilities 9 high severity 9 medium severity 4 low severity
Fedora
15 total vulnerabilities 3 high severity 9 medium severity 3 low severity
If we had to group the different Windows versions under one entry the statistics would look like this:
Windows
68 total vulnerabilities 47 high severity20 medium severity 1 low severity
這樣一來，Windows 漏洞大幅減少至68個，Linux 是39+27+20+15=101個。其中 Windows 有47個非常嚴重的漏洞，Linux 卻只有7+6+9+3=25個非常嚴重的漏洞。這些版本中只有Ubuntu的39個，比 Windows Server 2008 的38個多，但其餘 Linux 版本都比 Windows 少。事實上 Linux 因為是開源的閞係，程式碼是公開的，本來就比較容易找到漏洞。但這並不代表不安全，還要考慮到漏洞修補的速度，以及發生實際攻擊的情況。Linux 的漏洞大多數在被攻擊之前，就已經修補好了，相對 Windows 很多因為被壞人先發現，而有更多的零時差攻擊。另外報告又列出了2014年漏洞最多的前三大應用程式，分別是IE(242)，Google Chrome(124)，Mozilla Firefox(117)。嚴重等級的漏洞IE有220個，遙遙領先Chrome和Firefox。
最後Cristian Floriane 強調，文章目的是要彰顯「所有產品都有漏洞」的訊息，而越是受歡迎的產品，越需要有更高的更新頻率。並建議IT管理人員，不應該只注意到漏洞排行榜名單上的產品，以為不在名單內的就比較安全，事實上任何軟體產品都，可能在某個時間點上受到攻擊，「修補更新」才是安全之道。