Vielleicht hätte sich dieser Konflikt vermeiden lassen, wenn Oracle etwas konstruktiver mit Kritik umgehen und Patches zügiger entwickeln würde. Wie Kornbrust erzählt, bestätigt das Unternehmen zwar den Eingang einer Mail, wenn er auf eine Sicherheitslücke hinweist. Danach gebe es jedoch keine weitere Rückmeldung. Das liegt aus Sicht des Spezialisten daran, dass sich Oracle um so viele Sicherheitsprobleme kümmern muss: "Ich habe derzeit etwa 40 bis 50 Fehler offen, aber Oracle war bislang nicht in der Lage, regelmäßig eine Rückmeldung über den momentanen Stand zu geben." Erst im vergangenen Dezember habe das Unternehmen diese Praxis geändert.

Dennoch braucht es mitunter sehr lange, bis Fehler beseitigt werden. Oracle-Mann Harris räumte unlängst selbst ein, dass es in einem Fall über 800 Tage gedauert habe, einen Bug zu beseitigen. "Darauf sind wir nicht stolz", gab er zu. Das Januar-Update habe aber auch einen Fix für eine Sicherheitslücke enthalten, die im November 2005 gemeldet worden sei. Dies belege, dass Updates nach der Gefährlichkeit der jeweiligen Schwachstelle entwickelt werden. "Wir bemühen uns sehr, dass Berichte über zwei Jahre alte Schwachstellen der Vergangenheit angehören", gelobt der Manager Besserung.

Test-Stress kostet Zeit

Managerin Davidson verweist darauf, wie aufwändig das Entwickeln von Patches für Oracle ist: "Selbst wenn es sich bei einer Änderung nur um zwei Zeilen Code handelt, müssen wir überprüfen, welche Produktversionen von dieser Änderung betroffen sind, ob es Betriebssystem-spezifisch ist und ob es ähnlichen Code gibt, der die gleiche Schwachstelle haben könnte." In einem Fall seien wegen einer einzigen Schwachstelle 78 Patches erforderlich gewesen.