On Tue, Sep 22, 2009 at 11:10 AM,  <span dir="ltr"><<a href="mailto:john@netdirect.ca">john@netdirect.ca</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<font face="Default Sans Serif,Verdana,Arial,Helvetica,sans-serif" size="2">You could choose to search the CERT database <a href="https://www.kb.cert.org/vuls/html/search" target="_blank">https://www.kb.cert.org/vuls/html/search</a> but even that needs to be done carefully. The number of items and the severity of bugs need to be evaluated. Also be aware that not all vulnerabilities may be listed there.<br>
<br>Apache is open source so it will have vulnerabilities found that have never been exploited. They were found by examining the code. With IIS, since there is no source code generally available, the bugs may be ones actualy exploited. Minor flaws found by MS staff may not be reported. I suspect that more of apache's flaws are listed in CERT and fewer of IIS flaws are.<br>
</font></blockquote><div><br>This is an excellent point, and needs to be emphasized more. <br><br>I have seen FUD that does exactly that: goes to CERT and counts how many advisories against software X (closed source) vs. software Y (open source), and because the open source one is numerically more, then open source is by implication inferior to closed source, because it is insecure.<br>
<br>This is wrong, and mere FUD. Many open source weaknesses are never exploited, and are discovered by the many eyes that scour the source every day.<br> <br>Advisories != Actual Exploits<br><br>A similar case was Drupal had a lot of FUD agaisnt it for having too many security advisories. The issue was there was no differentiation between core and contrib. Contrib is basically the wild west, where anyone can create a module, and the result is 4,800+ (across version). The quality varies, some being very good, others being extremely bad.<br>
<br>So, starting with 2009, we have numbered the advisories for Core separately from Contrib. The result: we have 8 advisories for 2009 for core, and 59 advisories for contrib. Under the old scheme, it would be 67 total, ooh look, bad Drupal!<br>
<br>Again, an advisory does not mean an actually exploited vulnerability. It is a potential attack vector that needs to be plugged.<br></div></div>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com">2bits.com</a>, Inc.<br>
<a href="http://2bits.com">http://2bits.com</a><br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>