Linux-sårbarheder er de hurtigste at rette ifølge en Google Project Zero-rapport

for et par dage siden Forskere fra Google Project Zero-teamet offentliggjorde resultaterne ved at opsummere dataene på producenternes responstid før opdagelsen af nye sårbarheder i deres produkter.

I overensstemmelse med Googles politik, gives 90 dage til at fjerne sårbarhederne identificeret af Google Project Zero-forskere, før de frigives, og yderligere offentlig offentliggørelse gives også. kan ændres i yderligere 14 dage med særskilt anmodning.

Så dybest set, efter 104 dage, afsløres sårbarheden, selvom problemet stadig ikke er rettet.

Fra 2019 til 2021 projektet identificerede 376 problemer, heraf 351 (93,4 %) De blev rettet, mens 11 (2,9 %) sårbarheder forblev uoprettet, og yderligere 14 (3,7 %) problemer blev markeret som uløselige (WontFix).

Gennem årene, har der været et fald i antallet af sårbarheder for hvilke patches ikke passer inden for den tildelte tid til patch: I 2021 anmodede 14 % om yderligere 14 dage til patch, og kun én sårbarhed blev ikke rettet før offentliggørelse.

Til dette indlæg ser vi på rettede fejl, der blev rapporteret mellem januar 2019 og december 2021 (2019 er året, hvor vi foretog ændringer i vores offentliggørelsespolitikker, og vi begyndte også at spore mere detaljerede metrics om vores rapporterede fejl).

De data, vi vil referere til, er offentligt tilgængelige på Project Zero Bug Tracker og forskellige open source-projektlagre (i tilfælde af data, der bruges nedenfor til at spore tidslinjen for open source-browserfejl).

Vendor

Samlede fejl

Rettet på dag 90

fast i løbet af
afdragsfri periode

Overskredet deadline

& afdragsfri periode

Gns. dage at rette

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

Andre*

55

48 (87%)

3 (5%)

4 (7%)

44

I ALT

346

294 (84%)

34 (10%)

18 (5%)

61

I gennemsnit nævnes det det tager i gennemsnit 52 dage at rette en sårbarhed i 2021, 54 dage i 2020, 67 dage i 2019 og 80 dage i 2018.

Fra den del af de hurtigste korrigerede sårbarheder er fremhævet til at være i Linux-kernen og det nævnes, at det i gennemsnit er 15, 22 og 32 dage i 2021, 2020 og 2019.

Mens Microsoft var den langsomste til at frigive en patch, og det tog i gennemsnit 76, 87 og 85 dage at gøre det (ifølge den første tabel med en samlet tid, var Oracle langsommere til at reagere: 109 dage til at gøre det). Apple tog i gennemsnit 64, 63 og 71 dage på at rette det. For Google-produkter var den gennemsnitlige tid til at generere patches gennem årene 53, 22 og 49 dage.

Der er en række forbehold med vores data, hvoraf den største er, at vi vil se på et lille antal prøver, så forskelle i tal kan være statistisk signifikante eller ikke.

Desuden er retningen af ​​Project Zero-forskning næsten udelukkende påvirket af individuelle forskeres valg, så ændringer i vores forskningsmål kan ændre målinger lige så meget som ændringer i leverandøradfærd. Så vidt muligt er denne publikation designet til at være en objektiv præsentation af dataene, med yderligere subjektiv analyse inkluderet i slutningen.

Af browserproducenterne genereres rettelser hurtigst til Chrome, men udgivelsen efter fremkomsten af ​​rettelsen gør Firefox hurtigere (i Chrome og Safari forbliver den allerede løste sårbarhed i koden skjult for brugere i lang tid, som bruges af angribere).

Endelig nævnes det, at udbydere over tid retter næsten alle de fejl, de modtager, og generelt gør de det inden for 90 dage plus henstandsperioden på 14 dage, når det er nødvendigt.

I løbet af de sidste tre år har leverandører for det meste fremskyndet deres patch, hvilket effektivt reducerer den samlede gennemsnitlige tid til at reparere til omkring 52 dage.

Endelig hvis du er interesseret i at vide mere om det du kan kontrollere detaljerne i følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.