Fa alguns dies els investigadors de l'equip de Google Project Zero van donar a conèixer els resultats mitjançant un resum de les dades sobre el temps de resposta dels fabricants davant el descobriment de noves vulnerabilitats als seus productes.
D'acord amb la política de Google, s'atorguen 90 dies per eliminar les vulnerabilitats identificades pels investigadors de Google Project Zero, abans que aquestes siguin divulgades, a més, que també es concedeix que una divulgació pública addicional es pot canviar per 14 dies més amb una sol·licitud per separat.
Amb la qual cosa bàsicament, després de 104 dies, la vulnerabilitat es revela fins i tot si el problema segueix sense pegats.
De 2019 a 2021, el projecte va identificar 376 problemes, dels quals 351 (93,4%) van ser corregits, mentre que 11 (2,9%) vulnerabilitats van romandre sense pegats i altres 14 (3,7%) problemes es van marcar com a irreparables (WontFix).
Al llarg dels anys, hi ha hagut una disminució en la quantitat de vulnerabilitats per a les quals els pegats no encaixen dins del temps assignat per pegat: el 2021, el 14% va sol·licitar 14 dies addicionals per pegat i només una vulnerabilitat no es va pegat abans de la divulgació.
Per a aquesta publicació, observem els errors corregits que es van informar entre gener del 2019 i desembre del 2021 (2019 és l'any en què vam fer canvis en les nostres polítiques de divulgació i també vam començar a registrar mètriques més detallades sobre els nostres errors informats).
Les dades a què farem referència estan disponibles públicament a Project Zero Bug Tracker i en diversos repositoris de projectes de codi obert (en el cas de les dades que s'usen a continuació per rastrejar la línia de temps dels errors del navegador de codi obert ).
|
Venedor |
Total bugs |
Fixed by day 90 |
Fixed during |
Exceeded deadline & grace period |
Avg days to fix |
|
poma |
84 |
73 (% 87) |
7 (% 8) |
4 (% 5) |
69 |
|
Microsoft |
80 |
61 (% 76) |
15 (% 19) |
4 (% 5) |
83 |
|
|
56 |
53 (% 95) |
2 (% 4) |
1 (% 2) |
44 |
|
Linux |
25 |
24 (% 96) |
0 (% 0) |
1 (% 4) |
25 |
|
Adobe |
19 |
15 (% 79) |
4 (% 21) |
0 (% 0) |
65 |
|
Mozilla |
10 |
9 (% 90) |
1 (% 10) |
0 (% 0) |
46 |
|
Samsung |
10 |
8 (% 80) |
2 (% 20) |
0 (% 0) |
72 |
|
Oracle |
7 |
3 (% 43) |
0 (% 0) |
4 (% 57) |
109 |
|
altres* |
55 |
48 (% 87) |
3 (% 5) |
4 (% 7) |
44 |
|
Total |
346 |
294 (% 84) |
34 (% 10) |
18 (% 5) |
61 |
De mitjana, s'esmenta que prenc com a mitjana de 52 dies reparar una vulnerabilitat el 2021, 54 dies el 2020, 67 dies el 2019 i 80 dies el 2018.
Per la part de les vulnerabilitats que es van reparar més ràpidament es destaca que són al nucli de Linux i s'esmenta que és una mitjana de 15, 22 i 32 dies el 2021, 2020 i 2019.
Mentres que Microsoft va ser el més lent a llançar un pegat, trigant una mitjana de 76, 87 i 85 dies a fer-ho (segons la primera taula amb un temps total, Oracle va ser més lent a respondre: 109 dies a fer-ho). Apple va trigar una mitjana de 64, 63 i 71 dies a solucionar-ho. Als productes de Google, el temps mitjà per generar pegats al llarg dels anys va ser de 53, 22 i 49 dies.
Hi ha una sèrie d'advertiments amb les nostres dades, la major de les quals és que analitzarem una petita quantitat de mostres, per la qual cosa les diferències en els números poden ser estadísticament significatives o no.
A més, la direcció de la investigació de Project Zero està influïda gairebé del tot per les eleccions dels investigadors individuals, per la qual cosa els canvis en els nostres objectius de recerca podrien canviar les mètriques tant com ho farien els canvis en els comportaments dels proveïdors. En la mesura que sigui possible, aquesta publicació està dissenyada per ser una presentació objectiva de les dades, amb una anàlisi subjectiva addicional inclosa al final.
Dels fabricants de navegadors, les correccions es generen més ràpidament per a Chrome, però el llançament després de l'aparició de la correcció genera Firefox més ràpid (a Chrome i Safari, la vulnerabilitat ja corregida en el codi roman sense mostrar-se als usuaris durant molt de temps, la qual cosa és utilitzat pels atacants).
Finalment s'esmenta que amb el pas del temps els proveïdors corregeixen gairebé tots els errors que reben i en general ho fan dins del termini de 90 dies més el període de gràcia de 14 dies quan és necessari.
Durant els darrers tres anys, els proveïdors, majoritàriament, han accelerat el seu pegat reduint efectivament el temps promig general per corregir a aproximadament 52 dies.
Finalment, si estàs interessat en poder conèixer més a l'respecte pots consultar els detalls al següent enllaç.