La creencia popular
La mayoría de los profesionales de IT tienen la impresión que Linux es más seguro que Windows, pero al considerar las vulnerabilidades graves en los sistemas operativos Windows y Linux, queda desvirtuada la impresión algo generalizada respecto a la inferioridad de Microsoft en el ámbito de la seguridad informática, estima Forrester Research.
En los círculos de usuarios de Linux cunde la impresión de que la seguridad de su sistema de código abierto supera a la de Windows. Microsoft, por su parte, asegura que Windows es lo suficientemente bueno, pero que la atención se concentra en su sistema operativo porque es el que la gran mayoría usa.

Características de las vulnerabilidades
Basándose en un examen de las últimas vulnerabilidades de la seguridad, Forrester encontró que las vulnerabilidades de seguridad siguen una línea de tiempo, o lo que es similar, que tienen una esperanza de vida. Nacen generalmente con un acceso público del problema en una forma tal como una lista Bugs o problemas en un foro público. Después, los ISV o los desarrolladores le dan la prioridad a la vulnerabilidad y construyen un arreglo estable para él. También están los hackers sin escrúpulos que  comienzan a explotar la vulnerabilidad.
Sin embargo, es solamente después de que un Hacker experto genera un script automatizado para que los más inexpertos lo usen, que el número de ataques aumenta considerablemente ya que estos con menos conocimiento pueden hacer uso de las nuevas vulnerabilidades y es aquí donde comienza el verdadero periodo de vulnerabilidad en las empresas, y hasta que el parche es desarrollado y aplicado por lo que es sumamente critico el tiempo que se tarda en generar el parche y el tiempo que se tarda en distribuirlo y aplicarlo, y es justamente este punto donde se encuentran los mayores inconvenientes.

Forma de evaluación
Para Forrester, las preguntas clave para juzgar la seguridad de los sistemas operativos son:

• Qué tan rápido soluciona vulnerabilidades públicas del sistema operativo.
• Cuán severos son esos problemas, comparados con los otros operativos.
• Cuán cercano esta el vendedor de arreglar el 100% de sus defectos de seguridad.

Para conseguir respuestas cuantitativas a estas preguntas, Forrester utilizó dos métricas:

• El número de días entre momento en que el problema se divulga al público y el vendedor del sistema operativo libera el arreglo. En el caso de Linux puede haber un retardo adicional porque el parche puede existir pero el distribuidor aun no liberó el arreglo.
• La segunda métrica es el proyecto ICAT del Instituto Nacional de estándares y tecnologías de los Estados Unidos ("National Institutes for Standards and Technology) para las vulnerabilidades de alta severidad. Según ICAT, las vulnerabilidades de severidad alta son las que puede utilizar un atacante alejado si puede violar la seguridad de un sistema (es decir, gane acceso a una cuenta), o un atacante local para ganar control completo de un sistema o que el "Computer Emergency Response Team Coordination Center" emita un alerta.

Resultados
Usando estas métricas, Forrester analizo Debian, Mandrake, Windows, Red Hat and SuSE a lo largo de un año a partir del 1 de junio del 2002 y hasta mayo del 2003.
Microsoft viene con el promedio más bajo en el total de días de riesgo con un promedio de 25 días. Además, la compañía fijó todos sus agujeros de seguridad. Sin embargo, ICAT clasificó al 67% de las 126 vulnerabilidades de Microsoft como de alta severidad, colocando Microsoft como último en esta categoría
En comparación, solamente el 56% de las vulnerabilidades de la distribución de Linux Red Hat fueron calificados como alta severidad quien solucionó el 99.6% de las 229 vulnerabilidades aplicables.. Red Hat y Debian fueron los más rápidos en generar los parches de las distribuidores de Linux con 57 días, lo cual es más del doble que Microsoft. Debian tenía arreglado solamente el 96.2% de las 285 vulnerabilidades. MandrakeSoft tenía más días de riesgo, pero los números de ICAT demostraron que solamente el 60% de sus defectos eran de severidad alta. La compañía solucionó el 99% de sus 199 vulnerabilidades aplicables. SuSE Linux, ahora comprado por Novell, tenia menos días de riesgo que  MandrakeSoft, pero ICAT consideraba que el 63 por ciento de las 176 vulnerabilidades aplicables a SuSE como severas y reparo solo el 97.7 por ciento.

Recomendación
De acuerdo con estos resultados, Forrester no salió con una sola recomendación. En cambio, el analista recomienda que los negocios que valoran soluciones rápidas a las vulnerabilidades miren a Microsoft y a Debian. Si su negocio no tiene administradores muy capacitados, recomienda MandrakeSoft, Microsoft y SuSE, debido a la facilidad con la cual los usuarios y los administradores relativamente inexpertos pueden instalar, configuran, y corregir las vulnerabilidades de sus plataformas o si su personal es experto  recomienda Red Hat y Microsoft.