Microsoft blieb und bleibt nichts anderes übrig. Die machen das nicht freiwillig, sondern weil sie müssen. Und sie machen das auch nicht weil sie es einsehen, sondern weil sie sich sonst den Zorn der (Groß-) Kunden zuziehen. Da liegt leider auch der Hase im Pfeffer. Wenn Microsoft wollte, dann könnten sie relativ problemlos ein "sicheres" Betriebssystem entwickeln. Konzepte dazu gibt es in der Informatik zur Genüge. Und sie sollten genügend kluge Köpfe haben um sich zur Not ein paar neue Konzepte auszudenken. Sie tun es aber nicht. Zum einen, weil es einen Haufen Geld kostet (alles neu schreiben, nichts übernehmen) und sie sich damit für die nächsten Jahre die Bilanz verhageln. Zum anderen weil dann die Kunden plötzlich mit einem zu alten Windows-Versionen absolut inkompatiblen Betriebssystem umgehen müssen. Und es Anfangs nicht genügend Fremdsoftware gäbe.
Davon mal ganz abgesehen zeigen die stetig aufgefunden Sicherheitslücken eines nur zu gut: ja, es wird gesucht, aber während der Entwicklung wird nicht wirklich an Sicherheit gedacht (okay, das Problem haben praktisch alle Hersteller, die Deadline ist wichtiger). Außerdem kaufen sich alle Hersteller Entwicklungsleistungen extern dazu. Wie diese Software dann programmiert wird...? Das erschwert auch die Suche nach Sicherheitslücken. Wenn man an Closed-Source - Software denkt, dann kann dort ausschließlich der Hersteller mit einer gewissen Sicherheit und entsprechenden Prozessen nach Sicherheitslücken suchen. Alle anderen, auch die Security-Cracks!, sind auf das Prinzip Zufall, Disassembler und detektivisches Kleinklein angewiesen. Das sind keine guten Voraussetzungen um sich wohl zu fühlen.
Aber selbst wenn der Quellcode einsehbar ist, kann eine Prüfung auch nur einer einzigen Applikation sehr komplex sein und Monate dauern (siehe TrueCrypt). Nur haben bei OSS die Spezialisten viel mehr Angriffsfläche. Von daher wundert es mich überhaupt nicht, dass in OSS (Linux, Darwin, etc.) tendenziell "mehr" Sicherheitslücken gefunden werden.
Außerdem muß man bei diesen Vergleichen immer sehr vorsichtig sein und die Komplexität einer typischen Installation berücksichtigen. Ein Betriebssystem out-of-the-box, frisch installiert, zeigt weniger / andere Sicherheitslücken als ein Server-OS mit installierter Datenbank, Applikations- und Webserver.
Servus
kg