Debian Linux 被列为过去 20年 漏洞数量最多的操作系统

我就奇怪了,为啥 linux kernel 算一个操作系统,所有 bug 都算他的。
windows 就每个版本单算呢?
还是 windows 的那些,有重复的。不算了。

说明搞这个统计的人不靠谱,要么是技术理解力有问题,要么是屁股坐的歪~

不知道清单里的 Debian 是单指 Debian Stable,还是把 sid/testing/stable/oldstable 全部都算一起了~

每个发行版的默认配置不一样,像 Ubuntu 这种受众群体大的官方的默认配置就会考虑到这方面的问题,Debian 这种 安全漏洞多也是正常的

可以理解。

如果稍微懂一点系统安全的基本概念,这个标题可以换一种理解方式,Debian 是修复漏洞数量最多的操作系统。这是表扬啊。最可怕的东西从来都不是来源于已知,而是有多少真实存在却不被外界知道的漏洞。最顶级的漏洞都在 NSA 那里,毕竟人家可以开发漏洞。A 级的漏洞在黑产和厂家手里,能赚大钱或能赔大钱的都是好东西。微软漏洞真的少吗?有些漏洞是不可修复的。

你们质疑的口径问题严格意义上不能叫做问题,因为确实就是这样,但是让普通用户一听就会很害怕。Linux Kernel 本来就是一个完整的操作系统,甚至有自己的命令行,kernel command line。但是按照他排 Adobe Flash Player/Reader 这些产品的方法,Xorg,KDE/GNOME 甚至单个应用程序都应该分开,严格意义上说除了发行版自己开发的软件,别的是不应该叫做发行版的漏洞的。但是话又说回来,在 Linux 圈子从用户到开发者没人那么想。因为开发者只管开发,不管分发。也就是说,除非你是在我的 Release 页面,自己下载源代码、用我指定的编译工具和版本编译的,而且我宣称了我的软件第一有 backward compatibility,第二对安全性负责,这才能算我的,否则好比 3.1.2 版出了漏洞,谁让你放着最新版不用的?是不是发行版提供的 3.1.2 而没有提供 latest?那这个漏洞算发行版的。

Debian 这里有几个特殊原因我觉得需要大致说明下:

  1. 内核问题,Debian 不止 Linux 内核,GNU Hurd 内核算它自己的。这个内核别的发行版没有。
  2. 架构问题,Debian 支持许多老旧的现在甚至都找不到硬件的架构,找不到硬件就没法测试,那因为架构问题导致的 flawness,算 Debian 的。比如现在没有个人为上世纪的电子管计算机开发软件吧,你也不可能拥有那种硬件,但谁有?伯克利有,万一装了 Debian 发现了漏洞,算它的。
  3. 组织问题,如果没记错,Debian 是 GNU 唯一宣布过的发行版,那 GNU 的东西搞不好都算它头上。有不少发行版不是全套 GNU 的东西都带的,有些基础设施方面的软件搞不好选用的是 MIT License 的。
  4. 衍生版问题。比如 Elementary OS/Ubuntu,号称基于 Debian。那它出的漏洞可以全推给 Debian。甚至包括它自己开发的那些 DE。甚至 Deepin Linux 只要想,也可以那么干。就是可以完全没有安全团队。如果 openSUSE 还是基于 Slackware,我们也可以没有。但 openSUSE 不是基于 Fedora,因为我们没有一个包是直接拿 Fedora 的。
  5. 使用者群体问题。Kali Linux 是基于 Debian 的还记得吧。安全行业都在用这个东西。你是剑客没事儿也会磨剑的吧。
  6. 服务器行业问题。Debian 用的最多吧。换句话说,今天把全球服务器系统全换成 openSUSE,20年 后这篇文章可以只换个标题。

明天中午 13 点前发,发完 Paypal 打钱。发稿前删除本行。

6赞

我替苏姐总结下,就是 “锅 debian 背就好了,别解释”:speak_no_evil::speak_no_evil::speak_no_evil:

1赞

苏姐又调皮了:grin: