prije nekoliko dana Istraživači iz tima Google Project Zero objavili su rezultate sumiranjem podataka o vremenu odgovora proizvođača prije otkriće nove ranjivosti u njihovim proizvodima.
U skladu s Googleovim pravilima, dano je 90 dana za uklanjanje ranjivosti identificirani od strane istraživača Google Project Zero, prije nego što budu objavljeni, a dopušteno je i daljnje javno objavljivanje. može se promijeniti još 14 dana uz poseban zahtjev.
Dakle, u osnovi, nakon 104 dana, ranjivost se otkriva čak i ako problem još uvijek nije zakrpljen.
Od 2019. do 2021. projekt je identificirao 376 problema, od čega 351 (93,4%) Ispravljeni su, dok je 11 (2,9%) ranjivosti ostalo nezakrpljeno, a još 14 (3,7%) problema označeno je kao nepopravljivo (WontFix).
Tijekom godina, došlo je do smanjenja broja ranjivosti za koje se zakrpe ne uklapaju u dodijeljeno vrijeme za zakrpu: 2021. 14% je zatražilo dodatnih 14 dana za zakrpu, a samo jedna ranjivost nije zakrpljena prije otkrivanja.
Za ovu objavu gledamo ispravljene greške koje su prijavljene između siječnja 2019. i prosinca 2021. (2019. je godina u kojoj smo unijeli promjene u naša pravila o otkrivanju podataka, a počeli smo pratiti i detaljnije mjerne podatke o našim prijavljenim greškama).
Podaci koje ćemo referencirati javno su dostupni na Project Zero Bug Trackeru i raznim repozitorijima projekata otvorenog koda (u slučaju podataka koji se koriste u nastavku za praćenje vremenske trake grešaka preglednika otvorenog koda).
|
Prodavač |
Totalni bugovi |
Popravljeno do 90. dana |
fiksiran tijekom |
Prekoračen rok & razdoblje odgode |
Prosj. dana za ispravljanje |
|
jabuka |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
nepečena opeka |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Proročanstvo |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Drugi* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
UKUPNO |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
U prosjeku se spominje da potrebno je u prosjeku 52 dana da se popravi ranjivost 2021., 54. 2020 dana, 67. 2019 dana i 80. 2018 dana.
Od strane najbrže zakrpane ranjivosti su istaknute u Linux kernelu a spominje se da je to u prosjeku 15, 22 i 32 dana 2021., 2020. i 2019. godine.
Dok Microsoft je najsporije objavio zakrpu, za to je u prosjeku trebalo 76, 87 i 85 dana (prema prvoj tablici s ukupnim vremenom, Oracle je bio sporiji u odgovoru: 109 dana za to). Appleu je u prosjeku trebalo 64, 63 i 71 dan da to popravi. Za Googleove proizvode prosječno vrijeme za generiranje zakrpa tijekom godina bilo je 53, 22 i 49 dana.
Uz naše podatke postoji niz upozorenja, od kojih je najveća ta da ćemo gledati mali broj uzoraka, tako da razlike u brojevima mogu, ali ne moraju biti statistički značajne.
Nadalje, na smjer istraživanja projekta nula gotovo u potpunosti utječu izbori pojedinačnih istraživača, tako da bi promjene u našim istraživačkim ciljevima mogle promijeniti metriku koliko i promjene u ponašanju dobavljača. Koliko je to moguće, ova je publikacija osmišljena tako da bude objektivan prikaz podataka, uz dodatnu subjektivnu analizu na kraju.
Od proizvođača preglednika, popravci se najbrže generiraju za Chrome, ali puštanje nakon pojave popravka čini Firefox bržim (u Chromeu i Safariju već popravljena ranjivost u kodu ostaje skrivena za korisnike dugo vremena, što koriste napadači).
Na kraju, spominje se da s vremenom davatelji ispravljaju gotovo sve greške koje prime i općenito to učine u roku od 90 dana plus razdoblje odgode od 14 dana kada je to potrebno.
Tijekom protekle tri godine dobavljači su uglavnom ubrzali svoju zakrpu i učinkovito smanjili ukupno prosječno vrijeme za popravku na oko 52 dana.
Konačno, ako vas zanima više o tome pojedinosti možete provjeriti u sljedeći link.