prije nekoliko dana Istraživači iz tima Google Project Zero objavili su rezultate sumiranjem podataka o vremenu odgovora proizvođača prije otkriće nove ranjivosti u njihovim proizvodima.
U skladu sa Google politikom, dato je 90 dana za uklanjanje ranjivosti identificirani od strane istraživača Google Project Zero, prije nego što budu objavljeni, a dopušteno je i dalje javno objavljivanje. može se promijeniti još 14 dana uz poseban zahtjev.
Dakle, u osnovi, nakon 104 dana, ranjivost se otkriva čak i ako problem još uvijek nije zakrpljen.
Od 2019. do 2021. projekat je identifikovao 376 problema, od čega 351 (93,4%) Ispravljeni su, dok je 11 (2,9%) ranjivosti ostalo nezakrpljeno, a još 14 (3,7%) problema je označeno kao nepopravljivo (WontFix).
Tokom godina, došlo je do smanjenja broja ranjivosti za koje se zakrpe ne uklapaju u predviđeno vrijeme za zakrpu: 2021., 14% je zatražilo dodatnih 14 dana za zakrpu, a samo jedna ranjivost nije zakrpljena prije otkrivanja.
Za ovu objavu gledamo ispravljene greške koje su prijavljene između januara 2019. i decembra 2021. (2019. je godina u kojoj smo unijeli promjene u politiku otkrivanja podataka, a počeli smo i da pratimo detaljnije metrike o našim prijavljenim greškama).
Podaci koje ćemo referencirati javno su dostupni na Project Zero Bug Tracker-u i raznim repozitorijumima projekata otvorenog koda (u slučaju podataka koji se koriste u nastavku za praćenje vremenske linije grešaka pretraživača otvorenog koda).
|
Prodavac |
Totalne greške |
Popravljeno do 90. dana |
fiksiran tokom |
Prekoračen rok & grejs period |
Prosjek dana za popravku |
|
jabuka |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
čerpić |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
proročanstvo |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
drugi* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
UKUPNO |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
U prosjeku se to spominje potrebno je u prosjeku 52 dana da se popravi ranjivost u 2021. godini, 54 dana u 2020. godini, 67 dana u 2019. godini i 80 dana u 2018. godini.
Sa strane najbrže zakrpljene ranjivosti su istaknute u Linux kernelu a navodi se da je to u prosjeku 15, 22 i 32 dana u 2021., 2020. i 2019. godini.
Dok Microsoft je najsporije objavio zakrpu, za koje je u prosjeku trebalo 76, 87 i 85 dana (prema prvoj tabeli sa ukupnim vremenom, Oracle je bio sporiji u odgovoru: 109 dana za to). Appleu je trebalo u prosjeku 64, 63 i 71 dan da to popravi. Za Google proizvode, prosječno vrijeme za generiranje zakrpa tokom godina bilo je 53, 22 i 49 dana.
Postoji niz upozorenja u vezi sa našim podacima, od kojih je najveća ta da ćemo gledati mali broj uzoraka, tako da razlike u brojevima mogu, ali ne moraju biti statistički značajne.
Nadalje, na smjer istraživanja projekta nula gotovo u potpunosti utiču izbori pojedinačnih istraživača, tako da promjene u našim istraživačkim ciljevima mogu promijeniti metriku koliko i promjene u ponašanju dobavljača. Koliko je to moguće, ova publikacija je osmišljena da bude objektivan prikaz podataka, uz dodatnu subjektivnu analizu na kraju.
Od proizvođača pretraživača, popravci se najbrže generišu za Chrome, ali puštanje nakon pojave popravke čini Firefox bržim (u Chromeu i Safariju, već ispravljena ranjivost u kodu ostaje skrivena za korisnike dugo vremena, koju koriste napadači).
Na kraju, napominje se da provajderi vremenom ispravljaju gotovo sve greške koje prime i generalno to rade u roku od 90 dana plus grejs period od 14 dana kada je to potrebno.
Tokom protekle tri godine, dobavljači su, uglavnom, ubrzali svoju zakrpu efektivno smanjujući ukupno prosječno vrijeme za popravku na oko 52 dana.
Na kraju, ako ste zainteresirani da saznate više o tome detalje možete provjeriti u sljedeći link.