Интересная история произошла с аналитическим отчетом IBM X-Force Threat Report, который традиционно выходит раз в полгода и посвящен анализу последних тенденций в области информационной безопасности. Среди прочего, они приводят статистику по количеству обнаруженных дыр (в их базе данных за I пол. 2010 года зарегистрировано около 4500 уязвимостей, кстати, рекордное число) и по количеству патчей. Таким образом, они составляют рейтинг, какой вендор лучше справляется с обнаруженными уязвимостями.

Новый отчет вышел на прошлой неделе, скачать можно здесь: www-935.ibm.com/services/us/iss/xforce/trendreports. Он интересен двумя вещами.

Во-первых, документ придется переделать. Авторы из IBM уже сказали, что в ближайшие дни заменят PDF на сервере. Проблема в том, что две компании заявили протест по опубликованным цифрам в рейтинге "дырявых вендоров". Одна из этих компаний - Google.

В первой версии отчета Google возглавляет рейтинг по худшему закрытию критических дыр с показателем 33%. Но выяснилось, что эта цифра получена на основании всего трех уязвимостей, выявленных в сервисах Google в этом году, из которых одна не была закрыта, и как оказалось позже, это и вовсе был не баг, а результат терминологической путаницы.

Какая еще фирма, кроме Google, подавала протест - неизвестно, но IBM была вынуждена не просто исправить ошибку, а вручную изменить данные и по другим уязвимостям (исправлен статус "критическая", привязка к вендору, информация о выходе патчей). Коррекция базы данных отразилась на показателях и других компаний.

В итоге получилось (и это вторая интересная вещь относительно отчета), что после коррекции цифр IBM поставила себя на первое место в списке "худших патчеров", если считать только критические уязвимости.

Репутация Google очищена и теперь она значится с 0% незакрытых критических дыр, так же, как Linux и Apple.