Insbesondere wehren sich Red Hat, Suse, Mandrakesoft und Debian gegen den Vorwurf, bei der Entwicklung und Weitergabe von Patches langsamer als Microsoft zu sein. "Wir glauben, dass der Bericht Anbieter freier Software und den einzelnen Closed-Source-Anbieter nicht gleich behandelt", heißt es dazu von den Open-Source-Vertretern.

Die Analysten hätten den Fehler begangen, unterschiedlich schwere Verwundbarkeiten in einen Topf zu werfen und daraus einen Mittelwert zu bilden, der das tatsächliche Bild verzerre. "Unsere Benutzer werden wissen, dass wir auf kritische Fehler innerhalb von Stunden reagieren können", heißt es zur Entschuldigung. Weniger schwerwiegende Fälle müssten daher oft zurückgestellt werden.

Kritik üben die Distributoren auch an der Bewertung der Schwere einer Schwachstelle. Die "einfache Veröffentlichung durch eine bestimmte Sicherheitsorganisation" sei hierbei nicht ausschlaggebend. Um die Linux- und Windows-Plattformen besser vergleichen zu können, hatte Forrester sich an der Definition orientiert, die das National Institute of Standards and Technology (Nist) für seinen Schwachstellen-Index "Icat" (http://icat.nist.gov/icat.cfm) benutzt.

Aus Sicht der Linux-Distributoren stellt der "spezielle technische und organisatorische Aufwand, der im Bereich der professionellen Sicherheitsbehandlung für freie Software betrieben wird", einen "zusätzlichen Wert unserer Produkte" dar. Die Methoden der Studie ignorierten dies jedoch, was zu "fehlerhaften Schlussfolgerungen" führe. (ave)