El informe 2010 sobre riesgos y tendencias que IBM X-Force publica a mediados de año señala a Google como una de las peores compañías a la hora de publicar parches de seguridad.
El “Mid-year Trend and Risk Report” que el equipo X-Force de IBM publica dos veces al año recoge, entre otros muchos aspectos, el número de parches de las principales compañías de software. El informe concluye que el 55% de las vulnerabilidades reveladas por los propios suministradores de software están sin ser cubiertas y clasifica a las empresas en dos listas: una con las empresas con vulnerabilidades reveladas sin ser cubiertas y otra por las vulnerabilidades críticas sin ser cubiertas. En ambas, Google ha experimentado una severa caída con respecto al informe del año anterior, habiendo bajado del puesto número 6 al 12 en el primer listado y del 1 al 12 en el segundo.
Otros suministradores de software cuya posición ha variado notablemente este año son Sun (del 1 al 5 y del 7 al 12) y Linux (del 7 al 10 y del 4 al 12).
El ranking de empresas con vulnerabilidades reveladas sin ser cubiertas son Microsoft, 23%; Mozilla, 17%; Apple, 12%; IBM, 9%; Sun, 8%; Oracle, 6%; Cisco, 6%; Novell, 5%; HP, 4%; Linux, 3%; Adobe, 3%; Google, 0%.
Respecto a la lista de compañías por vulnerabilidades reveladas críticas sinser cubiertas, es:
IBM, 29%; Oracle 22%; Novell, 10%; Microsoft, 7%; HP, 5%; Mozilla, 4%; Adobe y Cisco, cada una con un 2%; y Apple, Google, Linux y Sun, todas con 0%.
El descontento de Google
Google ha criticado los métodos utilizados por el equipo X-Force de IBM para crear el informe; una metodología que defiende Tom Cross, bloguero de IBM, al señalar que es difícil seguir el rastro de todas las revelaciones de vulnerabilidades y parches porque los datos tienen que recopilarse manualmente. “Es una tarea complicada”, señala Cross en su blog, “pues cada suministrador de software maneja las vulnerabilidades de software de forma diferente y actualmente existen pocos estándares para compartir esta información”.
Como respuesta, Google dice que se deberían hacer más esfuerzos por verificar los datos utilizados en los informes. “Como primer paso, los compiladores de bases de datos deberían contactar con los suministradores que planear cubrir con el objetivo de concebir una solución apropiada para ambas partes que permita un flujo de información más coherente”, señala Adam Mein, miembro del equipo de seguridad de Google en su blog. También sugiere que se debería aumentar la transparencia por parte de los compiladores de datos.
