néhány napja a A Google Project Zero csapatának kutatói közzétették az eredményeket az adatok összegzésével a gyártók válaszidejéről korábban a felfedezése új sérülékenységeket a termékeikben.
A Google irányelveinek megfelelően, 90 nap áll rendelkezésre a sebezhetőségek eltávolítására közzétételük előtt azonosították a Google Project Zero kutatói, és további nyilvánosságra hozatal is biztosított. külön kérésre további 14 napig módosítható.
Tehát alapvetően 104 nap elteltével a sebezhetőség akkor is kiderül, ha a probléma még mindig nincs javítva.
2019 és 2021 között a projekt 376 problémát azonosított, ebből 351 (93,4%) Kijavították őket, míg 11 (2,9%) sebezhetőség javítás nélkül maradt, további 14 (3,7%) problémát pedig javíthatatlannak jelöltek (WontFix).
Az évek alatt, csökkent a sebezhetőségek száma amelyeknél a javítások nem férnek el a javításra szánt időn belül: 2021-ben 14% kért további 14 napot a javításhoz, és csak egy sebezhetőséget nem javítottak ki a közzététel előtt.
Ebben a bejegyzésben a 2019 januárja és 2021 decembere között jelentett javított hibákat tekintjük át (2019 az az év, amikor módosítottuk közzétételi irányelveinket, és elkezdtük nyomon követni a bejelentett hibákkal kapcsolatos részletesebb mutatókat is).
Az adatok, amelyekre hivatkozni fogunk, nyilvánosan elérhetők a Project Zero Bug Trackerben és a különböző nyílt forráskódú projekttárolókban (a nyílt forráskódú böngészőhibák idővonalának nyomon követésére használt lenti adatok esetében).
|
Eladó |
Totál bug |
90. napon javítva |
közben rögzítve |
A határidő túllépése és türelmi időszak |
Átlagos javítási napok |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
vályogtégla |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Jóslat |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Egyéb* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
ÖSSZESEN |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Átlagban azt emlegetik átlagosan 52 napot vesz igénybe a biztonsági rés kijavítása 2021-ben, 54 nap 2020-ban, 67 nap 2019-ben és 80 nap 2018-ban.
Részéről a leggyorsabban javított biztonsági rések a Linux kernelben találhatók és megemlítik, hogy 15-ben, 22-ban és 32-ben átlagosan 2021, 2020 és 2019 nap.
míg A Microsoft volt a leglassabban kiadott javítás, ehhez átlagosan 76, 87 és 85 nap kellett (az első teljes időt tartalmazó táblázat szerint az Oracle lassabban válaszolt: 109 nap volt erre). Az Apple-nek átlagosan 64, 63 és 71 napot vett igénybe a javítás. A Google-termékek esetében a javítások létrehozásának átlagos ideje az évek során 53, 22 és 49 nap volt.
Adatainkkal kapcsolatban számos figyelmeztetés van, amelyek közül a legnagyobb az, hogy kis számú mintát fogunk vizsgálni, így a számbeli különbségek statisztikailag szignifikánsak lehetnek, vagy nem.
Továbbá a Project Zero kutatás irányát szinte teljes mértékben az egyes kutatók döntései befolyásolják, így a kutatási célkitűzéseink változása éppúgy megváltoztathatja a mérőszámokat, mint a szállítói magatartás változásait. Amennyire lehetséges, jelen kiadvány célja az adatok objektív bemutatása, a végén további szubjektív elemzéssel.
A böngészőgyártók közül a Chrome-hoz generálódnak leggyorsabban a javítások, de a javítás megjelenése utáni kiadás gyorsabbá teszi a Firefoxot (Chrome-ban és Safariban a kódban már kijavított sebezhetőség hosszú ideig rejtve marad a felhasználók előtt, amit a támadók kihasználnak).
Végül megemlítik, hogy idővel a szolgáltatók szinte az összes kapott hibát kijavítják, és ezt általában 90 napon belül, valamint szükség esetén 14 napos türelmi időn belül megteszik.
Az elmúlt három év során a gyártók a legtöbb esetben felgyorsították a javítást, így a javítás átlagos átlagos ideje körülbelül 52 napra csökkent.
Végül, ha érdekel, hogy többet tudjon meg róla a részleteket a következő link.