Door PixyPumpkin: Kwetsbaarheden zijn kwetsbaarheden of je nu veel of weinig code hebt, het zegt wel iets over de kwaliteit.
Als je de hoeveelheid code (of beter: de hoeveelheid functionaliteit) niet meeneemt dan zegt het verdomd weinig over kwaliteit.
Neem twee fabrikanten van, ik noem maar iets willekeurigs, koffiemolens. Van de koffiemolens van fabrikant A gaan er elk jaar 10 in het eerste jaar stuk, van fabrikant B zijn dat er 100.
Defecten zijn defecten, en dat zegt wel iets over de kwaliteit, of het nou veel of weinig koffiemolens betreft. Dat is het equivalent van wat jij beweert. Wat concludeer je nu? Dat fabrikant A de degelijkste koffiemolens maakt? Dat ze het allebei slecht doen, want er zijn niet nul defecten?
Maar als erbij wordt gezegd dat fabrikant A jaarlijks 1.000 koffiemolens levert en fabrikant B jaarlijks 100.000, dan blijkt opeens dat van fabrikant A 1% in het eerste jaar uitvalt en van fabrikant B maar 0,1%. Wat zegt dat over de kwaliteit? Juist, dat fabrikant B het in dit opzicht beter doet in het eerste jaar dan fabrikant A.
Wat mensen hierboven (inclusief ikzelf) hebben gesteld is dat je bij het aantal CVE's wel degelijk moet meewegen op hoeveel code of hoevel functionaliteit die betrekking hebben, omdat je anders een onzinnige vergelijking maakt. De kritiek op het artikel is dat daar die weging niet wordt gedaan en de conclusie die het trekt onzinnig en zelfs misleidend is.
En ja, als je de weging wel doet dan lijkt Debian het juist een stuk beter te doen dan Windows Server 2008, net als fabrikant B het ondanks het hogere absolute aantal defecten toch beter doet dan fabrikant A.
Ik denk dat de conclusie is dat geen enkel OS beter of slechter is dan een ander, het gaat erom waarvoor en hoe je een OS gebruikt IMHO.
Of iets beter of slechter is hangt van een enorm aantal factoren af, inclusief wat je doelen zijn en of die wel te realiseren zijn met een bepaald OS. Je hoort mij niet beweren dat Windows niet de beste keuze kan zijn. Daar ging het hier ook niet om, het ging om de bewering dat Debian het meest kwetsbaar zou zijn geweest in de laatste 20 jaar, en over wat er niet klopt aan de onderbouwing van die uitspraak.
Dit bericht toont iig aan dat Linux en MacOS niet heilig zijn ...
Nee, maar dat hoeft ook helemaal niet aangetoond te worden, het is genoegzaam bekend, ook bij de mensen die nu Debian verdedigen. Maar omdat ze iets aan het rechtzetten zijn hoor je alleen argumenten die daarover gaan, er wordt hier één aspect belicht en dat is per definitie eenzijdig. Dat mensen (inclusief ik) het de moeite waard vinden om die argumenten uit te werken getuigt van enthousiasme, maar enthousiasme is nog geen aanbidding.
Ik heb thuis een uitstekende koffiemolen, waar ik dagelijks mijn koffie mee maal en waar ik behoorlijk tevreden mee ben. Niet dat er niets te verbeteren valt aan het ontwerp, daar zitten een paar onvolkomenheden in, maar daar ben ik wel aan gewend geraakt en het ding doet zijn werk intussen heel betrouwbaar en goed.
Als iemand dat ding afkraakt met argumenten die ronduit misleidend zijn, dan loop je kans dat ik van me laat horen om die argumenten tegen te spreken. Daarmee verklaar ik die koffiemolen echt niet meteen heilig, en je hoort me ook niet beweren dat geen enkele andere koffiemolen goed kan zijn. Zelfs een koffiemolen die een hogere kans heeft defect te raken kan andere eigenschappen hebben waardoor die voor een ander toch een betere keuze is, want de onvolkomenheden waar ik goed aan kan wennen zijn voor een ander misschien wel onoverkomelijk, en daar ben ik me terdege van bewust. Dat wil niet zeggen dat ik een weerwoord tegen een kulargument helemaal in ga bedden in wat er allemaal nog meer over het onderwerp te zeggen valt. Dat hoeft ook helemaal niet, daar ging het even niet over.