Pour des raisons pro je suis entrain de regarder du côté de BSD car je m’inquiète de voir une déliquescence sérieuse dans le développement de debian en matière de sécurité. J’avoue ne pas comprendre.
Bonjour,
Se baser sur le nombre de CVE pour évaluer la sécurité d’un système n’a pas de sens. Les CVE recensent les failles de sécurité (ou les bugs) connues et publiées. Et à partir du moment où elles sont connues, les mises à jour de sécurité sont très rapidement publiées par Debian.
Voir un grand nombre de CVE pourrait au contraire être considéré comme un gage de sécurité : les logiciels en question sont audités et leur failles rapidement corrigées. D’autre part il est fréquent d’avoir de multiple CVE pour un même problème de base (par exemple 6 CVE pour Xstream dans ta liste pour 2021).
Voir la première réponse ici :
Et la FAQ pour comprendre les CVE :
2 J'aime
Je ne vois rien d’inquiétant, au contraire : un pic en 2018 puis un retour à la normale avec 2021 au niveau de 2014 ou 2015, 2021 n’étant pas finie.
Peut-on voir le même graphique pour BSD ?
Je me demande quel sous-ensemble de paquets est pris en compte .
et pour Ubuntu c’est encore moins que bsd
Tout ca me surprend c’est tout
Tout dépend du nombre de logiciels disponibles, donc du rapport entre les nombre de logiciels et du nombre de vulnérabilités, corrigés, non corrigées.
Mais comment compter les paquets ? Certains sont découpés en petits morceaux parce que certains morceaux sont utilisés ailleurs (bibliothèques), ou ne sont pas attachés à une architecture (documentation, scripts).
Je viens de passer en revue les liens, ce qui me surprend particulièrement est le "score’ d’Ubuntu, j’ai cherché une explication et n’ai rien trouvé …
Même pas…
Dans ce cas précis cela dépend de comment sont affectées et comptabilisées les CVE. Et on voit bien que ce n’est pas du tout un critère pour juger de la sécurité d’une distribution. Le dernier lien donné n’indique que très peu de CVE pour Ubuntu alors qu’elle est encore très largement basée sur Debian.
À l’inverse les CVE répertoriées pour Debian concernent divers logiciels (mariadb 10.1 par exemple), certes empaquetés pou Debian, mais ce ne sont pas des failles spécifiques à la distribution. Par ailleurs toutes ces vulnérabilités ont reçu des correctifs de la part des mainteneurs de paquets.
Pour les explications j’ai déjà donné un lien (vers MITRE) qui explique ce qu’est CVE
Le souci est qu’un os n’est utile que par les services qu’il fournit
Et Debian fournit, entre autres, un service de mises à jour de sécurité pendant la durée de vie de la distribution.
Donc en fait on compare des choux et des carottes. 
Je ne pense pas qu’Ubuntu reprenne tous les paquets de Debian, ils font une sélection.
Le lien en question n’est pas représentatif car la référence (total des années) n’est pas identique pour tous les OS, par contre par année Debian est tj au dessus d’Ubuntu alors qu’il y a ~ 2 fois plus de serveurs Ubuntu installés ! ?
Mon idée d’explication, les serveurs Ubuntu sont en moyenne installés par des personnes plus novices que Debian et donc leur capacité à remonter les pbs est moindre … autre idée?
À ma connaissance Ubuntu récupère bien l’intégralité (ou presque) des paquets fournis par Debian.
Et donc ils ont moins de remontées ? Il y a baleine sous caillou, là.
Cela vient probablement du site cvedetails qui fait des trucs louches. Il semble qu’ils attribuent les CVE aux distributions si elles sont citées dans les références de la CVE. Ce qui n’a pas beaucoup de sens…
Les failles sont pratiquement toujours dans le logiciel amont, très rarement dans le paquet (patchs) fourni par la distribution.
Pour Ubuntu je ne retrouve plus la source mais environ 80-90% des paquets sont issus de Debian testing, tels quels ou avec un patch Ubuntu.
Comparer Debian avec Canonical donne un résultat plus cohérent avec le même pic en 2018.
Canonical : Products and vulnerabilities
Les « produits » sont appelés Debian Linux et Ubuntu Linux.
La place de Debian s’explique par sa méga logithèque, sa popularité et sa transparence.
Avec Debian FreeBSD et Debian Hurd, on aurait bien rigolé : pas de vulnérabilité apparente.
Le mieux concernant Debian (e si on commence pas à se questionner 
sur la véracité des informations remontées sur le site Debian), c’est de regardé là :
Après Ubuntu ou autre, après tout c’est un environnement GNU avec un noyau Linux, l’univers BSD c’est encore une autre approche.
Pour pratiqué les deux univers à mon travail depuis pas mal de temps déjà, j’avoue apprécié les deux pour leurs qualités et être ennuyés pour leur défauts respectifs (mais c’est fortement personnel).
Vouloir renié Debian pour la présence de CVE en grand nombre n’est pour moi pas la bonne approche, regarde ce que touche plutôt les CVE … comme dit plus haut se sont bien souvent des projets portés sur Debian, et il est pas dit qu’une grande partie ne sera jamais installé sur les serveurs que tu maintient.
Autre question, tu appréhende comment les failles et leur correctif sur les parties software ? elles sont bien plus nombreuses et bien moins identifiées et colmatées.
1 J'aime
La vraie question est : que s’est-il passé en 2017 pour que 2018 voit un pic si important ?
Et puis, y a-t-il un lien avec le ransomware egregor ou la campagne sandworm ou encore le débarquement du sable du sahara ?
Ben non!.. Au contraire!.. le nombre CVE indique justement un dévellopement sérieux: y’a du monde qui étudient les failles et donc qu’il y en a aussi qui émettent des corrections… ce qui n’est pas le cas d’autres systèmes ou il n’y a pas de CVE… parce que personne ne se donne la peine de chercher des failles ou ne peux le faire qu’avec la méthode du retro-engeniering (pour raison de propriété du code et donc par conséquence de confidentialité)!..
Dans un système, des failles il y en a TOUJOURS pour la simple et bonne raison que les logiciels et le matériel évoluent et ce, par forcément en synchronisation les uns avec les autres.
Il suffit de consulter le fichier /etc/debian_version pour savoir exactement sur quel version de Debian est construite la Ubuntu qui est sur une machine.