قبل أيام قليلة أصدر باحثون من فريق Google Project Zero النتائج من خلال تلخيص البيانات في وقت استجابة الشركات المصنعة من قبل اكتشاف نقاط ضعف جديدة في منتجاتهم.
وفقًا لسياسة جوجليتم منح 90 يومًا لإزالة نقاط الضعف تم تحديدها بواسطة باحثي Google Project Zero ، قبل إصدارها ، كما يتم منح المزيد من الإفصاح العام. يمكن تغييرها لمدة 14 يومًا أخرى بطلب منفصل.
لذلك ، في الأساس ، بعد 104 يومًا ، يتم الكشف عن الثغرة الأمنية حتى لو كانت المشكلة لا تزال دون حل.
من 2019 إلى 2021 ، حدد المشروع 376 مشكلة، منهم 351 (93,4٪) تم تصحيحهم ، بينما ظلت 11 (2,9٪) من الثغرات غير مصححة و 14 (3,7٪) من المشكلات الأخرى غير قابلة للإصلاح (WontFix).
A lo largo de los años، كان هناك انخفاض في عدد نقاط الضعف التي لا تناسبها التصحيحات خلال الوقت المخصص للتصحيح: في عام 2021 ، طلب 14٪ 14 يومًا إضافيًا للتصحيح ، ولم يتم تصحيح سوى ثغرة أمنية واحدة قبل الكشف عنها.
بالنسبة إلى هذا المنشور ، نلقي نظرة على الأخطاء الثابتة التي تم الإبلاغ عنها بين يناير 2019 وديسمبر 2021 (2019 هو العام الذي أجرينا فيه تغييرات على سياسات الإفصاح الخاصة بنا ، وبدأنا أيضًا في تتبع المزيد من المقاييس التفصيلية حول الأخطاء المبلغ عنها).
البيانات التي سنرجع إليها متاحة للجمهور على Project Zero Bug Tracker والعديد من مستودعات المشاريع مفتوحة المصدر (في حالة البيانات المستخدمة أدناه لتتبع الجدول الزمني لأخطاء المتصفح مفتوحة المصدر).
|
بائع |
مجموع البق |
ثابت بحلول اليوم 90 |
ثابت خلال |
تجاوز الموعد النهائي & فترة السماح |
متوسط أيام الإصلاح |
|
تفاح |
84 |
73 (87٪) |
7 (8٪) |
4 (5٪) |
69 |
|
مایکروسافت |
80 |
61 (76٪) |
15 (19٪) |
4 (5٪) |
83 |
|
شراء مراجعات جوجل |
56 |
53 (95٪) |
2 (4٪) |
1 (2٪) |
44 |
|
لينكس |
25 |
24 (96٪) |
0 (0٪) |
1 (4٪) |
25 |
|
أدوبي |
19 |
15 (79٪) |
4 (21٪) |
0 (0٪) |
65 |
|
موزيلا |
10 |
9 (90٪) |
1 (10٪) |
0 (0٪) |
46 |
|
سامسونج |
10 |
8 (80٪) |
2 (20٪) |
0 (0٪) |
72 |
|
Oracle |
7 |
3 (43٪) |
0 (0٪) |
4 (57٪) |
109 |
|
أخرى* |
55 |
48 (87٪) |
3 (5٪) |
4 (7٪) |
44 |
|
المجموع |
346 |
294 (84٪) |
34 (10٪) |
18 (5٪) |
61 |
في المتوسط ، يذكر أن يستغرق الأمر 52 يومًا في المتوسط لإصلاح الثغرة الأمنية في عام 2021 و 54 يومًا في عام 2020 و 67 يومًا في عام 2019 و 80 يومًا في عام 2018.
من جانب يتم تمييز أسرع الثغرات الأمنية المصححة لتكون في Linux kernel ويذكر انه متوسط 15 و 22 و 32 يوما في 2021 و 2020 و 2019.
في حين كانت Microsoft هي الأبطأ في إصدار التصحيح، استغرق الأمر 76 و 87 و 85 يومًا في المتوسط للقيام بذلك (وفقًا للجدول الأول بإجمالي الوقت ، كانت Oracle أبطأ في الاستجابة: 109 يومًا للقيام بذلك). استغرقت شركة Apple في المتوسط 64 و 63 و 71 يومًا لإصلاحها. بالنسبة إلى منتجات Google ، كان متوسط الوقت اللازم لإنشاء التصحيحات على مر السنين هو 53 و 22 و 49 يومًا.
هناك عدد من التحذيرات المتعلقة ببياناتنا ، وأكبرها أننا سننظر في عدد صغير من العينات ، لذلك قد تكون الاختلافات في الأرقام ذات دلالة إحصائية وقد لا تكون كذلك.
علاوة على ذلك ، يتأثر اتجاه بحث Project Zero بالكامل تقريبًا باختيارات الباحثين الفرديين ، لذا فإن التغييرات في أهداف بحثنا يمكن أن تغير المقاييس بقدر التغييرات في سلوك البائعين. قدر الإمكان ، تم تصميم هذا المنشور ليكون عرضًا موضوعيًا للبيانات ، مع تحليل شخصي إضافي مدرج في النهاية.
من بين الشركات المصنعة للمتصفح ، يتم إنشاء الإصلاحات بشكل أسرع لمتصفح Chrome، ولكن الإصدار بعد ظهور الإصلاح يجعل Firefox أسرع (في Chrome و Safari ، تظل الثغرة الأمنية الثابتة بالفعل في الشفرة مخفية للمستخدمين لفترة طويلة ، والتي يستخدمها المهاجمون).
أخيرًا ، يُذكر أنه بمرور الوقت ، يصحح مقدمو الخدمة جميع الأخطاء التي يتلقونها تقريبًا ، وعمومًا ، يقومون بذلك في غضون 90 يومًا بالإضافة إلى فترة السماح البالغة 14 يومًا عند الضرورة.
على مدى السنوات الثلاث الماضية ، قام البائعون ، في الغالب ، بتسريع التصحيح الخاص بهم ، مما أدى إلى تقليل متوسط الوقت الإجمالي لإصلاحه إلى حوالي 52 يومًا.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها يمكنك التحقق من التفاصيل في الرابط التالي.