Les vulnérabilités Linux sont les plus rapides à corriger selon un rapport de Google Project Zero

il y a quelques jours le Les chercheurs de l'équipe Google Project Zero ont publié les résultats en résumant les données sur le temps de réponse des constructeurs avant la découverte de de nouvelles vulnérabilités dans leurs produits.

Conformément à la politique de Google, 90 jours sont donnés pour supprimer les vulnérabilités identifiés par les chercheurs de Google Project Zero, avant leur publication, et une divulgation publique supplémentaire est également autorisée. peut être modifié pendant 14 jours supplémentaires avec une demande séparée.

Donc, fondamentalement, après 104 jours, la vulnérabilité est révélée même si le problème n'est toujours pas corrigé.

De 2019 à 2021, le projet a identifié 376 problèmes, dont 351 (93,4 %) Ils ont été corrigés, tandis que 11 (2,9%) vulnérabilités sont restées non corrigées et 14 autres (3,7%) problèmes ont été marqués comme irréparables (WontFix).

A lo largo de los años, il y a eu une diminution du nombre de vulnérabilités pour lesquels les correctifs ne rentrent pas dans le délai imparti pour corriger : en 2021, 14 % ont demandé 14 jours supplémentaires pour corriger, et une seule vulnérabilité n'a pas été corrigée avant la divulgation.

Pour cet article, nous examinons les bogues corrigés qui ont été signalés entre janvier 2019 et décembre 2021 (2019 est l'année où nous avons apporté des modifications à nos politiques de divulgation, et nous avons également commencé à suivre des mesures plus détaillées sur nos bogues signalés).

Les données auxquelles nous ferons référence sont accessibles au public sur Project Zero Bug Tracker et divers référentiels de projets open source (dans le cas des données utilisées ci-dessous pour suivre la chronologie des bogues du navigateur open source).

Vendeur

Nombre total de bogues

Fixé au jour 90

fixé pendant
période de grâce

Délai dépassé

& période de grâce

Nombre moyen de jours pour corriger

Apple

84

73 (% 87)

7 (% 8)

4 (% 5)

69

Microsoft

80

61 (% 76)

15 (% 19)

4 (% 5)

83

Google

56

53 (% 95)

2 (% 4)

1 (% 2)

44

Linux/Unix

25

24 (% 96)

0 (% 0)

1 (% 4)

25

Adobe

19

15 (% 79)

4 (% 21)

0 (% 0)

65

Mozilla

10

9 (% 90)

1 (% 10)

0 (% 0)

46

Samsung

10

8 (% 80)

2 (% 20)

0 (% 0)

72

Oracle

7

3 (% 43)

0 (% 0)

4 (% 57)

109

Autres*

55

48 (% 87)

3 (% 5)

4 (% 7)

44

TOTAL

346

294 (% 84)

34 (% 10)

18 (% 5)

61

En moyenne, on mentionne que il faut en moyenne 52 jours pour corriger une vulnérabilité en 2021, 54 jours en 2020, 67 jours en 2019 et 80 jours en 2018.

De la part de les vulnérabilités corrigées les plus rapides sont mises en évidence comme étant dans le noyau Linux et il est mentionné qu'il est en moyenne de 15, 22 et 32 ​​jours en 2021, 2020 et 2019.

Alors que Microsoft a été le plus lent à publier un correctif, prenant en moyenne 76, 87 et 85 jours pour le faire (selon le premier tableau avec un temps total, Oracle a été plus lent à répondre : 109 jours pour le faire). Apple a mis en moyenne 64, 63 et 71 jours pour le réparer. Pour les produits Google, le temps moyen de génération de correctifs au fil des ans était de 53, 22 et 49 jours.

Nos données comportent un certain nombre de mises en garde, la plus importante étant que nous examinerons un petit nombre d'échantillons, de sorte que les différences de nombre peuvent ou non être statistiquement significatives.

De plus, la direction de la recherche de Project Zero est presque entièrement influencée par les choix des chercheurs individuels, de sorte que des changements dans nos objectifs de recherche pourraient changer les paramètres autant que les changements dans les comportements des fournisseurs. Dans la mesure du possible, cette publication est conçue pour être une présentation objective des données, avec une analyse subjective supplémentaire incluse à la fin.

Parmi les fabricants de navigateurs, les correctifs sont générés le plus rapidement pour Chrome, mais la publication après l'apparition du correctif rend Firefox plus rapide (dans Chrome et Safari, la vulnérabilité déjà corrigée dans le code reste longtemps cachée aux utilisateurs, qui est utilisée par les attaquants).

Enfin, il est mentionné qu'au fil du temps, les fournisseurs corrigent presque toutes les erreurs qu'ils reçoivent et généralement, ils le font dans les 90 jours plus le délai de grâce de 14 jours si nécessaire.

Au cours des trois dernières années, les fournisseurs ont, pour la plupart, accéléré leurs correctifs, réduisant efficacement le délai moyen global de correction à environ 52 jours.

Enfin, si vous souhaitez en savoir plus vous pouvez vérifier les détails dans le lien suivant


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.