muutama päivä sitten Google Project Zero -tiimin tutkijat julkaisivat tulokset tiivistämällä tiedot valmistajien vasteajasta ennen löytäminen uusia haavoittuvuuksia tuotteissaan.
Googlen käytännön mukaisesti90 päivää annetaan haavoittuvuuksien poistamiseen Google Project Zero -tutkijat tunnistavat ennen niiden julkaisua, ja myös myöhempää julkistamista myönnetään. voidaan muuttaa vielä 14 päiväksi erillisestä pyynnöstä.
Eli periaatteessa haavoittuvuus paljastuu 104 päivän jälkeen, vaikka ongelmaa ei vieläkään ole korjattu.
Vuodesta 2019 vuoteen 2021, hankkeessa tunnistettiin 376 ongelmaa, joista 351 (93,4 %) Ne korjattiin, 11 (2,9 %) haavoittuvuutta jäi korjaamatta ja 14 (3,7 %) ongelmaa merkittiin korjaamattomiksi (WontFix).
Vuosien varrella, haavoittuvuuksien määrä on vähentynyt joille korjaustiedostot eivät mahdu korjausaikaan: Vuonna 2021 14 % pyysi 14 lisäpäivää korjaukseen, ja vain yhtä haavoittuvuutta ei korjattu ennen julkistamista.
Tässä viestissä tarkastelemme korjattuja bugeja, jotka on raportoitu tammikuun 2019 ja joulukuun 2021 välisenä aikana (2019 on vuosi, jolloin teimme muutoksia ilmoituskäytäntöihimme, ja aloimme myös seurata raportoituja virheitä koskevia yksityiskohtaisempia mittareita).
Tiedot, joihin viittaamme, ovat julkisesti saatavilla Project Zero Bug Trackerissa ja useissa avoimen lähdekoodin projektivarastoissa (jos alla on tietoja, joita käytetään avoimen lähdekoodin selaimen virheiden aikajanan seuraamiseen).
Myyjä |
Yhteensä bugeja |
Korjattu päivään 90 mennessä |
korjattu aikana |
Määräaika ylitetty & armonaika |
Päivien keskiarvo korjaukseen |
omena |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
oraakkeli |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
Muuta* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
YHTEENSÄ |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Keskimäärin se mainitaan haavoittuvuuden korjaaminen kestää keskimäärin 52 päivää vuonna 2021, 54 päivää vuonna 2020, 67 päivää vuonna 2019 ja 80 päivää vuonna 2018.
Puolelta nopeimmin korjatut haavoittuvuudet on korostettu Linux-ytimessä ja mainitaan, että se on keskimäärin 15, 22 ja 32 päivää vuosina 2021, 2020 ja 2019.
Vaikka Microsoft oli hitain julkaissut korjaustiedoston, ja siihen kului keskimäärin 76, 87 ja 85 päivää (ensimmäisen kokonaisaikataulukon mukaan Oracle vastasi hitaammin: 109 päivää). Applella kesti keskimäärin 64, 63 ja 71 päivää korjata se. Google-tuotteiden kohdalla korjaustiedostojen luomiseen kului keskimäärin 53, 22 ja 49 päivää.
Tiedoissamme on useita varoituksia, joista suurin on, että tarkastelemme pientä määrää näytteitä, joten erot lukumäärissä voivat olla tai eivät ole tilastollisesti merkittäviä.
Lisäksi Project Zero -tutkimuksen suuntaan vaikuttavat lähes kokonaan yksittäisten tutkijoiden valinnat, joten muutokset tutkimustavoitteissamme voivat muuttaa mittareita yhtä paljon kuin muutokset toimittajien käyttäytymisessä. Tämä julkaisu on mahdollisuuksien mukaan suunniteltu objektiiviseksi esitysaineistoksi, jonka loppuun on sisällytetty subjektiivinen lisäanalyysi.
Selainvalmistajista korjaukset syntyvät nopeimmin Chromelle, mutta korjauksen ilmestymisen jälkeinen julkaisu tekee Firefoxista nopeamman (Chromessa ja Safarissa koodin jo korjattu haavoittuvuus pysyy käyttäjille piilossa pitkään, jota hyökkääjät käyttävät).
Lopuksi mainitaan, että ajan mittaan palveluntarjoajat korjaavat lähes kaikki saamansa virheet ja yleensä he tekevät sen 90 päivän kuluessa ja tarvittaessa 14 päivän lisäajan kuluessa.
Viimeisten kolmen vuoden aikana toimittajat ovat suurimmaksi osaksi nopeuttaneet korjaustiedostoaan vähentäen tehokkaasti keskimääräistä korjausaikaa noin 52 päivään.
lopuksi, jos olet kiinnostunut tietämään siitä lisää voit tarkistaa yksityiskohdat seuraava linkki.