残念ながらUnbreakable Linuxのアドバイザリーのページが見つからないので含めることが出来なかったけれど、RHEL/SLES/Miracle/Turbolinuxを比較してみた。
元データは
等からリンクされている個別のアドバイザリーに含まれる、CVEのIDとアドバイザリーのリリース日を、そのCVEが示す脆弱性がfixされた日として、RHEL4/5がfixしてからどのくらい遅れる、あるいは早かったかを縦軸に、横軸にCVEのIDを(サイズの関係で全てでは無いけれど)、2006年1月以降だけグラフにしてみた。
簡単に言えば、RHELと比較してそれぞれのディストリがセキュリティ修正を出すのが遅いか、早いか。
とても日数のかかっているものがあるために縦軸が伸びているので、あまり遅れていないように見える部分もあるけれど、1週間ぐらい遅いのがざらにあります。
あるCVEが該当するのにfixが未だに出ていないディストリもあるし、RHELでは該当するけど他のディストリには該当しないこともあるために差分が出せないものもある。
あるいは、古いディストリバージョンで、あるアプリの最新版を含んでいたために、つまり成熟度の低いアプリを含んでいたために、fixが異常に早いこともある(参考:RHELはかなり成熟度重視のディストリ)ので、このデータを単純に読み取るのは危険だけれども、大まかな傾向は見て取れるように思える。
それから、Miracleが徐々に対応が早くなっているように見えるのは、単純にRHELのSRPMを持って行ってリビルドしているだけになってきているから。現にパッケージのバージョンにel4とか入っているし、バイナリのサイズや、RHELとMiracleのSRPMを持ってきてdiffすると全く違いの無いRPMパッケージがかなり多い。changelogにもmiracleのエンジニアの名前が見受けられない。つまり「セキュリティフィックスの遅いRHEL」に成り下がっている。
分かりやすいようにグラフにしてみたけれど、もし興味があればご自身でアドバイザリーを取得して、日付を抽出してみることをオススメします。
