vor ein paar Tagen die Forscher des Google Project Zero-Teams haben die Ergebnisse veröffentlicht durch Zusammenfassung der Daten auf die Reaktionszeit der Hersteller vor die Entdeckung von neue Schwachstellen in ihren Produkten.
In Übereinstimmung mit der Google-Richtlinie, werden 90 Tage gegeben, um die Schwachstellen zu beseitigen von Google Project Zero-Forschern identifiziert wurden, bevor sie veröffentlicht werden, und eine weitere öffentliche Offenlegung wird ebenfalls gewährt. kann auf gesonderten Antrag um weitere 14 Tage geändert werden.
Im Grunde genommen wird die Schwachstelle nach 104 Tagen aufgedeckt, auch wenn das Problem noch nicht gepatcht ist.
Von 2019 zu 2021, Das Projekt identifizierte 376 Probleme, davon 351 (93,4 %) Sie wurden korrigiert, während 11 (2,9 %) Schwachstellen ungepatcht blieben und weitere 14 (3,7 %) Probleme als nicht behebbar markiert wurden (WontFix).
Im Laufe der Jahre, ist die Anzahl der Sicherheitslücken zurückgegangen für die Patches nicht in die vorgesehene Patchzeit passen: Im Jahr 2021 beantragten 14 % zusätzliche 14 Tage zum Patchen, und nur eine Schwachstelle wurde vor der Offenlegung nicht gepatcht.
Für diesen Beitrag betrachten wir behobene Fehler, die zwischen Januar 2019 und Dezember 2021 gemeldet wurden (2019 ist das Jahr, in dem wir Änderungen an unseren Offenlegungsrichtlinien vorgenommen haben, und wir haben auch begonnen, detailliertere Metriken zu unseren gemeldeten Fehlern zu verfolgen).
Die Daten, auf die wir verweisen werden, sind auf Project Zero Bug Tracker und verschiedenen Open-Source-Projektrepositorys öffentlich verfügbar (im Fall von Daten, die unten verwendet werden, um die Zeitachse von Open-Source-Browserfehlern zu verfolgen).
|
Verkäufer |
Totale Fehler |
Bis Tag 90 behoben |
während behoben |
Termin überschritten & Zahlungsfrist |
Durchschnittliche Tage zur Behebung |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Anders* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
INSGESAMT |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Im Durchschnitt wird das erwähnt Es dauert durchschnittlich 52 Tage, um eine Schwachstelle zu beheben im Jahr 2021, 54 Tage im Jahr 2020, 67 Tage im Jahr 2019 und 80 Tage im Jahr 2018.
Seitens Die am schnellsten gepatchten Schwachstellen werden im Linux-Kernel hervorgehoben und es wird erwähnt, dass es in den Jahren 15, 22 und 32 durchschnittlich 2021, 2020 und 2019 Tage sind.
Während sich Microsoft war am langsamsten bei der Veröffentlichung eines Patches, was durchschnittlich 76, 87 und 85 Tage dauerte (gemäß der ersten Tabelle mit einer Gesamtzeit reagierte Oracle langsamer: 109 Tage). Apple brauchte durchschnittlich 64, 63 und 71 Tage, um es zu beheben. Bei Google-Produkten betrug die durchschnittliche Zeit zum Generieren von Patches im Laufe der Jahre 53, 22 und 49 Tage.
Es gibt eine Reihe von Vorbehalten bei unseren Daten, von denen der größte darin besteht, dass wir uns mit einer kleinen Anzahl von Stichproben befassen werden, sodass Unterschiede in den Zahlen statistisch signifikant sein können oder auch nicht.
Darüber hinaus wird die Richtung der Project Zero-Forschung fast ausschließlich von den Entscheidungen einzelner Forscher beeinflusst, sodass Änderungen unserer Forschungsziele die Metriken ebenso verändern können wie Änderungen im Verhalten der Anbieter. Diese Veröffentlichung ist so weit wie möglich als objektive Darstellung der Daten konzipiert, wobei am Ende eine zusätzliche subjektive Analyse enthalten ist.
Von den Browserherstellern werden Fixes für Chrome am schnellsten generiert, aber die Veröffentlichung nach dem Erscheinen des Fixes macht Firefox schneller (in Chrome und Safari bleibt die bereits behobene Schwachstelle im Code für Benutzer lange verborgen, was von Angreifern ausgenutzt wird).
Abschließend wird erwähnt, dass die Anbieter im Laufe der Zeit fast alle erhaltenen Fehler korrigieren, und zwar im Allgemeinen innerhalb von 90 Tagen zuzüglich der Nachfrist von 14 Tagen, falls erforderlich.
In den letzten drei Jahren haben die Anbieter ihre Patches größtenteils beschleunigt, wodurch die durchschnittliche Gesamtzeit für die Behebung effektiv auf etwa 52 Tage reduziert wurde.
Schließlich wenn Sie mehr darüber wissen möchten Sie können die Details in der überprüfen folgenden Link