Google krytykuje raport o błędach. Skutecznie...

Adam Mein, odpowiedzialny za bezpieczeństwo produktów Google, napisał w firmowym blogu, że niedawny raport IBM X-Force (traktujący o lukach w popularnych aplikacjach) zawiera nieprawdziwe informacje na temat Google. Co ciekawe, przedstawiciele IBM szybko zgodzili się z tymi twierdzeniami i udostępnili już poprawioną wersję dokumentu.

Błędny okazał się fragment raportu, w którym napisano, że w webowych usługach Google wciąż znajduje się pewna liczba niezałatanych błędów o statusie "krytyczne" i "poważne". Przedstawiciele Google zakwestionowali go zaraz po publikacji dokumentu - Adam Mein napisał w firmowym blogu: "Znaleźliśmy tam dość dziwne stwierdzenia na tematy liczby błędów w naszych produktach i czasu, jaki zajmuje nam zwykle rozwiązanie problemu. Po konsultacji z IBM okazało się, że podczas prac nad raportem popełniono kilka drobnych błędów, które wypaczyły ostateczne wyniki".

Z pierwotnej treści dokumentu wynikało, że Google wciąż nie załatał ok. 9% błędów wykrytych w pierwszej połowie bieżącego roku i że ok. 1/3 z tych luk stanowią błędy niebezpieczne dla użytkowników ("krytyczne" lub "poważne"). Okazało się, że te dane nie były poprawne - autorom raportu umknął fakt, że Google... załatał już wszystkie zgłoszone w tym roku błędy.

"Po opublikowaniu raportu dostaliśmy informacje zwrotne od przedstawicieli dwóch firm, o których mowa była w dokumencie. Ich uwagi dotyczyły sposobu oceniania i zliczania informacji o lukach. Te opinie zostały już uwzględnione - opublikowaliśmy poprawione wersje tabel zawierających nieprecyzyjne informacje" - napisał w oficjalnym blogu IBM Tom Cross, specjalista z X-Force, który przy okazji przeprosił obie firmy za błędy.

W owym blogu nie podano co prawda, o których producentów oprogramowania chodziło, ale dziś wiadomo, że problem dotyczył Google (który sam zgłosił zastrzeżenia do raportu) oraz firmy Sun Microsystem - w poświęconej jej sekcji raportu wyraźnie widać wprowadzone zmiany.

Pierwotnie w dokumencie napisano, że Sun wciąż nie załatał 24% błędów odkrytych w pierwszych sześciu miesiącach 2010 r. i że 9% z tych luk stanowią błędy "krytyczne" i "poważne". Poprawione statystyki wyglądają znacznie lepiej - ostatecznie okazało się, że na załatanie czeka wciąż zaledwie 9% wykrytych luk i że żadna z nich nie jest uznawana za groźną dla użytkowników.

Warto wspomnieć, że narzekania na cykliczne raporty IBM X-Force są dość częste - ale rzadko zdarza się, by ich autorzy pod naciskiem krytyków wprowadzali do nich jakieś modyfikacje. Wśród narzekających często jest np. Fundacja Mozilla, która regularnie tłumaczy, że zestawianie liczby luk wykrywanych w jej produktach z podobnymi statystykami dotyczącymi np. Apple czy Microsoftu jest dla niej bardzo krzywdzące. Zdaniem przedstawicieli FM, wynika to z otwartości Firefoksa - w jego przypadku upubliczniane są wszystkie wykryte w aplikacji luki, podczas gdy Microsoft czy Apple mogą zatajać niektóre z nich (dlatego też na pierwszy rzut oka wydaje się, że w produktach Mozilli jest więcej błędów).