[RFR] wml://webwml/portuguese/News/2004/20040406.wml
#use wml::debian::translation-check translation="1.5"
<define-tag pagetitle>Declaração Conjunta Sobre a Segurança do GNU/Linux</define-tag>
<define-tag release_date>2004-04-04</define-tag>
#use wml::debian::news
# Joint Statement about GNU/Linux Security
<h3>Sumário Executivo</h3>
<p>Os distribuidores GNU/Linux Debian, Mandrake, Red Hat e SUSE uniram-se
para dar uma declaração comum sobre o relatório da Forrester intitulado
"O Linux é mais Seguro que o Windows?". Embora o relatório afirme
incorporar uma pesquisa qualitativa das reações dos distribuidores
em relação a vulnerabilidades sérias, ele trata todas as vulnerabilidades
como iguais, independentemente dos riscos aos usuários. Como resultado,
as conclusões feitas pela Forrester tem valor real extremamente limitado
para o levantamento dos clientes de quão rapidamente as vulnerabilidades
sérias são corrigidas na prática.</p>
<h3>Declaração Completa</h3>
<p>As equipes de respostas de segurança dos distribuidores GNU/Linux
Debian, Mandrakesoft, Red Hat e SUSE auxiliaram pela Forrester a coletar
dados sobre as vulnerabilidades em seus produtos. Os dados coletados
foram usados na Forrester em um relatório intitulado "O Linux é mais
Seguro que o Windows?". Embora os dados das vulnerabilidades
relativas ao GNU/Linux que são a base para o relatório sejam
considerados suficientemente precisos e úteis, Debian, Mandrakesoft,
Red Hat e SUSE, daqui em diante referenciados como "Nós", estão
preocupados com relação à precisão das conclusões feitas no
relatório.</p>
<p>Nós acreditamos que é no interesse de nossos usuários e da comunidade
do Software Livre que nós respondemos ao relatório da Forrester na
forma de uma declaração comum:</p>
<p>Nós fomos contactados pela Forrester em Fevereiro de 2004 para ajudá-los
a refinar seus dados puros. A Forrester coletou dados sobre as
vulnerabilidades que afetaram o GNU/Linux durante o período de um
ano (Junho de 2002 - Maio de 2003) e observou quantos dias nós levamos
para fornecer as correções aos nossos usuários. Esforços significativos
foram colocados não somente em certificar que o conjunto de dados sobre
as vulnerabilidades estava correto, mas também em articular o cuidado
especial técnico e operacional tomado no processo de resposta no campo
da segurança profissional em Software Livre. Esta experiência é muito
apreciada pelos nossos usuários, uma vez que adiciona grande valor aos
nossos produtos, mas nós observamos que a maior parte deste valor foi
ignorado nos métodos usados para a análise dos dados das
vulnerabilidades, levando a conclusões erradas.</p>
<p>Nossas Equipes de Resposta de Segurança e organizações especializadas
em segurança de reputação respeitável (como CERT/DHS, BSI, NIST, NISTCC)
trocam informações sobre vulnerabilidades e cooperam nas medidas e
procedimentos para reagir a elas. Cada vulnerabilidade é investigada e
examinada individualmente; a severidade da vulnerabilidade é então
determinada por cada uma das equipes individuais baseadas no risco e
impacto além de outras propriedades, principalmente técnicas, da
vulnerabilidade e do software afetado. Esta severidade é então usada para
determinar a prioridade na qual será trabalhada uma correção para a
vulnerabilidade em relação à outras vulnerabilidades em espera no
momento. Nossos usuários sabem que para falhas críticas nós podemos
responder dentro de horas. Esta priorização indica que as correções dos
problemas de severidades menores serão freqüentemente adiadas para que
aqueles mais importantes sejam resolvidos primeiro.</p>
<p>O relatório da Forrester não faz esta distinção quando calcula o tempo
passado entre o conhecimento público de uma falha de segurança e a
disponibilidade de uma correção do distribuidor, embora afirme fazê-lo.
Para cada distribuidor o relatório fornece uma média simples, a "Todos/\
Dias de risco da distribuição", que mostra uma imagem inconclusiva da
realidade que os usuários experimentam. A média trata errôneamente todas
as vulnerabilidades como iguais, independentemente do risco que elas
apresentem. Nem todas as vulnerabilidades causam o mesmo efeito em todos
os usuários. Uma tentativa de designar uma severidade para as
vulnerabilidades foi feita usando dados terceirizados, porém a
classificação das vulnerabilidades de "alta-severidade" não é
suficiente: O simples anúncio de uma vulnerabilidade por uma organização
de segurança em particular não a torna necessariamente severa. De
modo parecido, a habilidade de explorar uma fraqueza através da rede
(remota) é freqüentemente irrelevante para a severidade da
vulnerabilidade.</p>
<p>Nós acreditamos que o relatório não trata os distribuidores de
Software Livre e o único distribuidor de código fechado do mesmo modo.
O Software Livre é conhecido pela sua variedade e sua liberdade de
escolha entre os padrões que ele define. Várias implementações destes
padrão são tipicamente oferecidas para uso em ambos desktop e servidores,
o que dá aos usuários a liberdade de selecionar o software baseados em
seus critérios ao invés daqueles do distribuidor. A abertura e a
transparência do código fonte é um valor adicionado
a maior variedade de pacotes de software disponíveis. Finalmente,
a afirmação que um dos distribuidores de software corrigiu 100% de
suas falhas de segurança durante o período do relatório deveria ser
um incentivo para uma investigação mas aprofundada das conclusões
apresentadas pelo relatório.</p>
<p>assinado,
<br>Noah Meyerhans, Debian
<br>Vincent Danen, Mandrakesoft
<br>Mark J Cox, Red Hat
<br>Roman Drahtmüller, SUSE</p>
<h3>Informação Adicional:</h3>
<p>Javier Fernández-Sanguino Peña <a
href="http://people.debian.org/~jfs/debconf3/security/data/";>compôs</a>
uma <a href="http://lists.debian.org/debian-security-0112/msg00257.html";>\
pesquisa</a> em 2001 e descobriu que a equipe de segurança do Debian
levou uma média de 35 dias para corrigir as vulnerabilidades enviadas a
lista. Entretanto, Mais de 50% das vulnerabilidades foram corrigidas no
máximo em 10 dias, e mais de 15% delas foram corrigidas no mesmo dia que
o alerta foi lançado! Para esta análise, todas as vulnerabilidades foram
tratadas da mesma maneira.</p>
<p>Ele refez a pesquisa baseado nas vulnerabilidades descobertas entre
1 de Junho de 2002 e 31 de maio de 2003 e descobriu que o valor mediano
da demora entre a descoberta e o lançamento de um alerta com uma correção
foi de 10 dias (média de 13,5 dias). Nesta análise os alertas
também não foram classificados com prioridades diferentes.</p>
Reply to: