m0wly escribió:Tu no has puesto ningun dato que corrobore que hay mas gente auditando nada. Dices que es asi, pero porque si, porque tu lo dices. Yo no digo que sea de una forma o de otra. Lo he dicho bien claro:
Lo de que el software opensource "es mas seguro porque hay mas gente estudiandolo" no es una relacion logica. Es un inventman sin datos que lo apoyen.
Cuando me des datos, pues te dare la razon. Mientras sigas diciendo que es como tu dices porque si, porque tu lo vales, sin aportar datos, pues seguire diciendo que es un "invent-man". Porque lo es.
¿Y el resto de enlaces que habían en mis respuestas? ¿Te has ido a la tabla directo y has obviado el resto? ¿Tú si has aportado datos que corroboren tus afirmaciones? No los veo entre tanto texto.
m0wly escribió:Pero es mas, te voy a decir unas cosas mas:
1) Esa tabla no indica el tipo de fallo. Puede ser cualquier tipo de fallo. De hecho, lo pone bien claro y entrecomillas:
"Total Number Of "Distinct" Vulnerabilities" y entre los diferentes sistemas listados aparece "wacthos", "itunes", "chrome" o "imagemagick". Asi que ya nos podemos ir haciendo una idea del tipo de fallos reportados en esa tabla.
Supongo que no estás familiarizado con los términos, pero no te preocupes, yo te explico que significa Distinct Vulnerabilities. Se les llama así a los fallos que puedan provocar comportamientos no deseados potencialmente dañinos en un sistema o aplicación, es decir, desde darte un bonito BSOD hasta permitir la ejecución remota de código. Como puedes ver, no es "cualquier tipo de fallo" no, son concretamente explotación de vulnerabilidades en el código para permitir a usuarios no autorizados cualquier tipo de acceso o denegación del mismo. Y en este caso concreto, DISTINCT hace referencia a "diferentes" (aunque tenga más acepciones en el diccionario) pues suele haber más de una forma de explotar las vulnerabilidades, y se registra con el CVE la forma más directa de explotar esa vulnerabilidad. Está bien claro que fallos se reportan en esas tablas, no son precisamente fallos de un botón en una GUI que no haga click o unas cadenas de texto que no tienen el formato adecuado... Son vulnerabilidades de carácter leve, moderado, grave y muy grave que afectan a la seguridad y funcionamiento de sistemas operativos / aplicaciones.
m0wly escribió:2) Esa tabla que listas indica los fallos reportados desde 1999 en todos los sistemas. Windows 10 existe en el mercado desde hace 6 años. Windows 10 aparece con practicamente los mismos reportes que el kernel de linux o que ubuntu.
¿Desde cuando existe ubuntu? Hace 17 años. En 17 años ubuntu a reportado los mismos fallos que windows10 en 6 años. ¿Quiere esto decir que hay mas gente auditando windows10 ya que en 6 años ha reportado casi los mismos fallos que ubuntu en 17 años?
Yo lo veo cómo que en 6 años Windows 10 ha tenido más vulnerabilidades de seguridad que Ubuntu en 17. Y me hace gracia que pongas de ejemplo a Ubuntu(Canonical) vs Windows(Microsoft) cuando son dos empresas privadas detrás de un sistema operativo, uno de código abierto y otro privativo, que cobran por el soporte y que auditan su código fuente de forma interna e interesada.
Microsoft tiene a unos 2000 ingenieros trabajando a tiempo completo en "Windows One Core" mientras que en el kernel de linux contribuyen más de 15 mil desarrolladores. Pero seguro que esta info, tampoco te vale.
m0wly escribió:3) Si nos da por, por ejemplo marcar los fallos reportados año por año, obviamente los resultados seran totalmente opuestos a los que tu has puesto. Para ejmplo, una imagen
Veo que si sesgas y cortas tú, la info es buena. Si lo hace el resto, son invent-man. Yo he acompañado todas las capturas con sus correspondientes URLs fuente, donde se puede entrar y comprobar la info. No es nada práctico meter toda la tabla sin cortar en un post.
m0wly escribió:4) Si finalmente te pones a analizar de donde salen los datos de esa tabla. Los datos "publicados" año a año hacia tras en el tiempo, y las fuentes de donde estan sacados esos datos, pues ya es cuando te das cuenta de que esos datos son todos muy "meh".
De traca, no esperaba menos tampoco en la réplica. Los datos no son válidos cuando los expongo yo, incluso dices que las fuentes de donde proceden no son buenas. Pero tú sí que puedes usarlos de forma válida para contraargumentar... Los datos de esa web son recopilados a través de
https://cve.mitre.org/ , que casualidades de la vida, está respaldada por U.S. Department of Homeland Security (DHS) Cybersecurity and Infrastructure Security Agency (CISA). De ahí también depende
https://nvd.nist.gov/ que recoge y califica la severidad de las vulnerabilidades encontradas.
Pero que vaya, que los del gobierno de los Estados Unidos seguramente, no tienen ni idea de esto y todo son datos falsos e inventados.
m0wly escribió:5) Y para rematar. Si en lugar de poner una screenshoot parcial hubieses puesto una completa, en el grafico de barras de abajo te sale quien son las empresas que mas fallos reportan, por empresa, y no por sistema individual, y , oh, "chorprecha":
Te vuelvo a recordar que yo pongo los links antes de cada captura para que se vea de donde ha salido, no sé en que invalida poner una captura recortada si se pone la fuente.
Pero tú mismo te retratas, Microsoft reporta más del triple de vulnerabilidades en 6 años que los sistemas de código abierto juntos, pero el software opensource no es más seguro, mayormente son exploits de ejecución de código remoto (
https://www.cvedetails.com/vendor.php?vendor_id=26) mientras que por ejemplo Debian tiene la mitad o menos (
https://www.cvedetails.com/vendor.php?vendor_id=23) o OSX que anda por las mismas cifras que Microsoft (
https://www.cvedetails.com/product/156/ ... ndor_id=49) cuando se venden como la empresa más segura del mundo...
m0wly escribió:Ya si tal, cuando dejes de inventar cosas , dejes de poner tablas sin sentido, y dejes de decir que lo que tu dices es verdad becouse potato, pues seguimos.
Un saludo
Quizá si te apoyas en datos que consideras "meh" para rebatirme, aquí el que está inventando cosas no soy yo. El único que ha tirado de falacias circulares ad infinitum con tal de reafirmarte en suposiciones de las que no tienes datos que aportar, eres tú.
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")
..para uno darse cuenta que pagar mil dólares más por una manzana mordida a la que le entran fácil los gusanos ![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
![[bye]](/images/smilies/nuevos2/adio.gif "adios")
sobre todo cuando no estamos hablando de seguridad, si no, de que el software open source se revisa y audita mucho más que el propietario, por mucho que lo neguéis sin aportar ni un sólo dato. 
