米モジラ(Mozilla Corporation)のセキュリティ責任者を務めるウィンドウ・スナイダー(Window Snyder)氏は2008年1月17日(米国時間)、同社の公式ブログにおいて、「異なるソフトウエアで脆弱(ぜいじゃく)性の数を比べることは意味が無いこと」「ソフトウエアの開発で重要なことは、脆弱性をすぐに修正すること」を強調した。
スナイダー氏は、英国のIT系サイト「Techworld」が同日掲載した記事に言及。その記事は、セキュリティベンダーであるデンマークのセキュニアが公開したレポートを解説したものであり、2007年に見つかった脆弱性の傾向や数などを分野やソフトウエアごとにまとめている。
そのレポートによれば、2007年中、OSの分野では、Red Hat Linuxに404件の脆弱性が見つかったのに対して、Windowsは123件だった。またWebブラウザーについては、モジラの「Firefox」では64件の脆弱性が報告されたのに対して、Internet Explorer(IE)では43件だったいう。このため同記事では、「Red Hat and Firefox more buggy than Microsoft(Red HatとFirefoxはマイクロソフト製品よりもバグが多い)」といったタイトルを付けていた。
この記事に対してスナイダー氏は、記事自体は興味深いとしながらも、タイトルは読者の誤解を招く恐れがあるとコメント。異なるソフトウエア、特に、オープンソース(FirefoxやRed Hat Linux)とクローズドソース(ソースを公開していないプログラム、IEやWindows)において、見つかった脆弱性の数を比較することには問題があるとする。オープンソースなら、ソースを読んで脆弱性(バグ)を見つけることができるが、クローズドソースについては、脆弱性が公表されなければ分からないからだ。
スナイダー氏によれば、ユーザーを脅威から守るために重要なのは、脆弱性の発見から修正の提供までの時間を短くすることだという。同社では、そのための取り組みに力を入れているとする。
そして同氏は、Techworldの記事の中から、「脆弱性の発見から修正の提供までの時間」に言及した個所を引用して、同社の優位性をアピールした。引用文は次の通り。「ゼロデイの脆弱性(修正が存在しない脆弱性)に対する修正の提供は、IEよりもFirefoxの方が早かった」「2007年にFirefoxで報告されたゼロデイの脆弱性は8件。そのうち5件は修正済みで、5件中3件については報告から1週間で修正された。一方、IEで見つかったゼロデイ脆弱性は10件で、修正済みはわずか3件。最も早く修正されたものでも85日かかった」。
