Die Experten wollten wissen, wie es um die Sicherheit der Windows-Plattformen im Vergleich zu den Linux-Distributionen von Debian, Mandrakesoft, Red Hat und Suse steht. Dazu analysierten sie, wie viele als sehr kritisch einzustufende Schwachstellen zwischen dem 1. Juni 2002 und dem 31. Mai 2003 gemeldet wurden und wie viel Zeit die Anbieter benötigten, um Patches dafür bereitzustellen.

Microsoft musste in diesem Zeitraum für Windows (inklusive von Anwendungen wie dem Internet Explorer oder seiner SQL-Datenbank) 126 Fehler melden, von denen 86 sehr kritisch waren. Im Durchschnitt gelang es dem Hersteller, innerhalb von 25 Tagen ein Update verfügbar zu machen. Die Open-Source-Gemeinde schnitt sowohl bei der Zahl der entdeckten Fehler insgesamt als auch der Menge der davon als sehr kritisch einzustufenden Probleme wesentlich schlechter ab: Am schlimmsten sieht es bei Red Hat aus (229 Schwachstellen, 128 sehr kritisch), dahinter folgen Debian (286/123), Mandrake (199/120) und Suse (229/129).

Defizite hat die Linux-Community auch beim Entwickeln und Bereitstellen der Patches. Bis der Fehler technisch behoben war, verstrichen zwischen 32 (Debian) und 56 (Mandrake) Tage. Dabei dauerte es je nach Distributor durchschnittlich noch einmal rund 20 Tage, bis Patches im Rahmen von Updates an die Kunden weitergereicht wurden. (ave)