преди няколко дни Изследователи от екипа на Google Project Zero публикуваха резултатите чрез обобщаване на данните за времето за реакция на производителите преди откриването на нови уязвимости в техните продукти.
В съответствие с правилата на Google, се дават 90 дни за премахване на уязвимостите идентифицирани от изследователите на Google Project Zero, преди да бъдат пуснати, и също така е предоставено допълнително публично разкриване. може да се смени за още 14 дни с отделна заявка.
Така че по принцип след 104 дни уязвимостта се разкрива, дори ако проблемът все още не е коригиран.
От 2019 до 2021 г. проектът идентифицира 376 проблема, от които 351 (93,4%) Те бяха коригирани, докато 11 (2,9%) уязвимости останаха непоправени, а други 14 (3,7%) проблема бяха маркирани като непоправими (WontFix).
През годините, има намаляване на броя на уязвимостите за които корекциите не се вписват в рамките на определеното време за корекция: През 2021 г. 14% поискаха допълнителни 14 дни за корекция и само една уязвимост не беше коригирана преди разкриването.
За тази публикация разглеждаме коригирани грешки, съобщени между януари 2019 г. и декември 2021 г. (2019 г. е годината, в която направихме промени в нашите политики за разкриване и също така започнахме да проследяваме по-подробни показатели за нашите докладвани грешки).
Данните, които ще се позоваваме, са публично достъпни в Project Zero Bug Tracker и различни хранилища на проекти с отворен код (в случай на данни, използвани по-долу за проследяване на времевата линия на грешки в браузъра с отворен код).
Производител |
Тотални грешки |
Поправен до ден 90 |
фиксирани по време на |
Превишен срок & гратисен период |
Средно дни за коригиране |
ябълка |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
Кирпич |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
Оракул |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
Други* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
ОБЩО |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Средно се споменава, че отнема средно 52 дни, за да се коригира уязвимостта през 2021 г., 54 дни през 2020 г., 67 дни през 2019 г. и 80 дни през 2018 г.
От страна на най-бързо коригираните уязвимости са подчертани като в ядрото на Linux и се споменава, че е средно 15, 22 и 32 дни през 2021, 2020 и 2019 г.
докато Microsoft най-бавно пусна пач, като за това са били необходими средно 76, 87 и 85 дни (според първата таблица с общо време Oracle реагира по-бавно: 109 дни за това). Apple отне средно 64, 63 и 71 дни, за да го поправи. За продуктите на Google средното време за генериране на корекции през годините е 53, 22 и 49 дни.
Има редица предупреждения с нашите данни, най-голямото от които е, че ще разгледаме малък брой извадки, така че разликите в числата може или не може да са статистически значими.
Освен това, посоката на изследване на Project Zero се влияе почти изцяло от избора на отделните изследователи, така че промените в нашите изследователски цели могат да променят показателите толкова, колкото промените в поведението на доставчиците. Доколкото е възможно, тази публикация е предназначена да бъде обективно представяне на данните, като в края е включен допълнителен субективен анализ.
От производителите на браузъри корекциите се генерират най-бързо за Chrome, но пускането след появата на корекцията прави Firefox по-бърз (в Chrome и Safari вече фиксираната уязвимост в кода остава скрита за потребителите за дълго време, което се използва от нападателите).
Накрая се споменава, че с течение на времето доставчиците коригират почти всички грешки, които получават и като цяло правят това в рамките на 90 дни плюс гратисния период от 14 дни, когато е необходимо.
През последните три години доставчиците в по-голямата си част ускориха корекциите си, като ефективно намалиха общото средно време за коригиране до около 52 дни.
И накрая, ако се интересувате да научите повече за това можете да проверите подробностите в следваща връзка.