「IEはFirefoxより安全」--MS幹部の調査報告書に批判の声 - (page 2)

　Oxer氏は、ソフトウェアをセキュリティの観点から評価するためのより有効な方法は、バグが発見されてから修正がリリースされるまでの日数に応じて、厳しさ係数で乗算することでそれぞれのエクスプロイトに数値を与えることだと考えている。

　「仮に2つの製品があり、一定期間内に修正されたエクスプロイトの数がほぼ同数だったとしても、ユーザーが危険にさらされた日数が両者で全く異なる場合もある」（Oxer氏）

ディストリビューターのサポート

　また、Microsoftが示したデータは、レガシーソフトウェアのサポートに関する問題も提起している。Mozillaは、Firefoxの新版をリリースしてから6カ月経過すると、その前のバージョンのサポートを終了。一方Microsoftは、OSのサイクルに従い、IEのそれぞれのバージョンの終了後、最高10年間サポートを続ける。

　「仮にMicrosoftが（Mozillaと）同じポリシーを持っていたとしたら、Internet Explorer 6のサポートは2007年5月に終了していたはずだし、またInternet Explorer 5.01のサポートも2001年に終了していたはずだ。しかし、Microsoftは一般に、新たにリリースされるOSとともにブラウザもリリースし、そのブラウザのライフサイクルが終了するまでサポートを提供している。現在、ビジネス製品のライフサイクルは10年間だ」（Jones氏）

　サポート問題はサードパーティーのディストリビューターにも影響を与える、とJones氏は指摘する。Mozillaは2007年5月にFirefox 1.5のサポートを終了したが、（Firefox 1.5が統合されている）Linux OSの「Ubuntu 6.06 LTS」は、2009年までセキュリティサポートを提供するとしている。また、Novellの「SUSE Linux」は2013年までFirefox 1.5のサポートを行う。UbuntuとRed HatはそれぞれFirefox 1.5用に複数のパッチをリリースしたが、Jones氏によると、「それぞれのベンダーがパッチを適用した脆弱性は、部分的にしか重複していない」という。

　「ライフサイクルの検討は、今後企業にとって重要性を増しそうだ。というのは、企業は時にカスタマイズされたウェブアプリケーションを使っていたり、（ソフトウェアの）2つのメジャーリリースの間に頻繁にアップグレードすることを嫌うからだ。そしてその場合にも、比較的長期の移行計画を立てていたりする」（Jones氏）

　しかし、Linux AustraliaのOxer氏は、このようなサポート配信方法はオープンソースモデルの恩恵だと見ている。顧客は契約期間中、柔軟なサポートを得られるからだ。

　「プロプライエタリとオープンソースモデルの大きな違いの1つとして、（オープンソースの場合）複数のベンダーが単一のコードに対してサポートを提供している点がある。Mozillaがサポートを終了しても、企業顧客にサポートを提供することにコミットした、（Linux）ディストリビューションベンダーなどの、ソフトウェアベンダーが存在する」とOxer氏は語る。

　「これは、エンドユーザーが自分でサポートレベルを選択できることを意味する。デスクトップ向けに安定した運用環境を長期的にサポートする企業を選ぶのであれば、それは選択肢の1つとして可能だ。あるいは、頻繁にアップデートするディストリビューターを選択することもできる」（Oxer氏）

　Microsoftのようなプロプライエタリソフトウェアベンダーを利用するデメリットは、企業顧客は単一ベンダーのスケジュールに拘束されるという点だ、とOxer氏は続ける。ベンダーのスケジュールが自社のスケジュールに合わないこともあるだろう。