E sempre dal post precedente di Paperino (ringrazio ogni giorno Mighell per avermi mostrato il suo blog):
...Qualche sedicente esperto di sicurezza va ancora affermando che "SQL Server è il Database per il quale lo scorso anno sono state trovate il maggior numero di vulnerabilità":
He cited SQL Server as an example. "It had the most vulnerabilities last year of any commercial database, so scrutiny will do nothing but good for its security."(fonte).
nonostante Jeff Jones dimostri, secunia alla mano, che il numero di vulnerabilità trovate da sempre per SQL 2005 sia stato 0 (e nonostante sia stato rilasciato 2.5 anni fa) e che l'ultima vera vulnerabilità di SQL server sia datata 2004. Dov'è la differenza tra l'approccio MS e quello della concorrenza? Sia Jeff che Feliciano concordano: merito dell'SDL, di cui ho abbondantemente disquisito in passato. E sull'SDL a questo punto vale la pena citare questa storia di Michael Howard:
A few years ago I spoke to some senior technical people from a large financial organization about software security. After visiting Microsoft they were off to visit another operating system vendor. I won't name names. The financial company was very interested in our early results, and they were encouraged by what they saw because of the SDL. I asked the most senior guy in the room to ask the other company one very simple question, "What are they doing to improve the security of their product? And by that I mean, what are they doing to reduce the chance security vulnerabilities will creep into the product in the first place? And they cannot use the word ‘Microsoft' in the reply." Two weeks later, the guy phoned me and said his company would buy Microsoft products and nothing from the other company. I asked him why. He said because all they could do was make up excuses (see the list at the start for examples!) rather than admit to having numerous critical security vulnerabilities and no process to reduce their ingress.
Morale della favola: se non sono bastati 4 anni di ottima condotta per convincere gli "esperti", sicuramente non basterà l'eternità per convincere i detrattori più accaniti.
Fonte: In mia assenza