před několika dny Výzkumníci z týmu Google Project Zero zveřejnili výsledky shrnutím dat na dobu odezvy výrobců dříve objevení nové zranitelnosti jejich produktů.
V souladu se zásadami společnosti Google, je poskytnuto 90 dní na odstranění zranitelností identifikované výzkumnými pracovníky Google Project Zero před jejich zveřejněním a je také povoleno další zveřejnění. lze změnit na dalších 14 dní na základě samostatné žádosti.
Takže v podstatě po 104 dnech je zranitelnost odhalena, i když problém stále není opraven.
Od roku 2019 do roku 2021 projekt identifikoval 376 problémů, z toho 351 (93,4 %) Byly opraveny, zatímco 11 (2,9 %) zranitelností zůstalo neopraveno a dalších 14 (3,7 %) problémů bylo označeno jako neopravitelné (WontFix).
V průběhu let, došlo ke snížení počtu zranitelností pro které se záplaty nevejdou do vyhrazeného času pro záplatu: V roce 2021 14 % požadovalo dalších 14 dní na záplatu a pouze jedna chyba zabezpečení nebyla před zveřejněním záplatována.
V tomto příspěvku se podíváme na opravené chyby, které byly hlášeny mezi lednem 2019 a prosincem 2021 (rok 2019 je rokem, kdy jsme provedli změny v našich zásadách zveřejňování a také jsme začali sledovat podrobnější metriky o našich nahlášených chybách).
Data, na která budeme odkazovat, jsou veřejně dostupná na Project Zero Bug Tracker a různých repozitářích projektů s otevřeným zdrojovým kódem (v případě údajů používaných níže ke sledování časové osy chyb prohlížeče s otevřeným zdrojovým kódem).
Prodejce |
Celkem bugy |
Opraveno do 90. dne |
opraveno během |
Překročen termín & doba odkladu |
Prům. dny k opravě |
jablko |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
Věštec |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
jiní* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
DOHROMADY |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
V průměru se uvádí, že oprava chyby zabezpečení trvá v průměru 52 dní v roce 2021, 54 dní v roce 2020, 67 dní v roce 2019 a 80 dní v roce 2018.
Na straně nejrychlejší opravené zranitelnosti jsou zvýrazněny v linuxovém jádře a je zmíněno, že je to v roce 15, 22 a 32 průměrně 2021, 2020 a 2019 dní.
zatímco Microsoft vydal opravu nejpomaleji, přičemž to trvalo v průměru 76, 87 a 85 dní (podle první tabulky s celkovým časem Oracle reagoval pomaleji: 109 dní). Apple to opravoval v průměru 64, 63 a 71 dní. U produktů Google byla průměrná doba generování oprav v průběhu let 53, 22 a 49 dní.
S našimi údaji existuje řada výhrad, z nichž největší je, že se budeme dívat na malý počet vzorků, takže rozdíly v číslech mohou, ale nemusí být statisticky významné.
Kromě toho je směr výzkumu Project Zero téměř výhradně ovlivněn volbami jednotlivých výzkumných pracovníků, takže změny v našich výzkumných cílech mohou změnit metriky stejně jako změny v chování prodejců. Pokud je to možné, je tato publikace navržena tak, aby byla objektivní prezentací dat s dodatečnou subjektivní analýzou na konci.
Z výrobců prohlížečů se opravy generují nejrychleji pro Chrome, ale vydání po objevení opravy zrychluje Firefox (v Chrome a Safari již opravená zranitelnost v kódu zůstává uživatelům dlouhou dobu skryta, čehož využívají útočníci).
Nakonec je zmíněno, že poskytovatelé časem opraví téměř všechny chyby, které obdrží, a obecně tak učiní do 90 dnů plus 14denní lhůta odkladu, je-li to nutné.
Během posledních tří let dodavatelé z větší části urychlili své opravy a efektivně zkrátili celkovou průměrnou dobu opravy na přibližně 52 dní.
Konečně, pokud máte zájem o tom vědět více můžete zkontrolovat podrobnosti v následující odkaz.