beberapa hari yang lalu Peneliti dari tim Google Project Zero merilis hasilnya dengan meringkas data pada waktu respons dari produsen sebelumnya penemuan kerentanan baru dalam produk mereka.
Sesuai dengan kebijakan Google, 90 hari diberikan untuk menghapus kerentanan diidentifikasi oleh peneliti Google Project Zero, sebelum dirilis, dan pengungkapan publik lebih lanjut juga diberikan. dapat diubah selama 14 hari lagi dengan permintaan terpisah.
Jadi pada dasarnya, setelah 104 hari, kerentanan terungkap meskipun masalahnya masih belum ditambal.
Dari 2019 hingga 2021, proyek mengidentifikasi 376 masalah, dimana 351 (93,4%) Mereka dikoreksi, sementara 11 (2,9%) kerentanan tetap belum ditambal dan 14 lainnya (3,7%) masalah ditandai tidak dapat diperbaiki (WontFix).
Selama bertahun-tahun, telah terjadi penurunan jumlah kerentanan yang patchnya tidak sesuai dengan waktu yang ditentukan untuk ditambal: Pada tahun 2021, 14% meminta tambahan 14 hari untuk ditambal, dan hanya satu kerentanan yang tidak ditambal sebelum pengungkapan.
Untuk posting ini, kami melihat bug tetap yang dilaporkan antara Januari 2019 dan Desember 2021 (2019 adalah tahun kami membuat perubahan pada kebijakan pengungkapan kami, dan kami juga mulai melacak metrik yang lebih detail tentang bug yang kami laporkan).
Data yang akan kami rujuk tersedia untuk umum di Project Zero Bug Tracker dan berbagai repositori proyek open source (dalam hal data yang digunakan di bawah ini untuk melacak timeline bug browser open source).
|
Penjaja |
Jumlah bug |
Diperbaiki pada hari 90 |
tetap selama |
Melebihi batas waktu & Masa tenggang |
Rata-rata hari untuk diperbaiki |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Peramal |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Lainnya* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
JUMLAH |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Rata-rata, disebutkan bahwa dibutuhkan rata-rata 52 hari untuk memperbaiki kerentanan pada tahun 2021, 54 hari pada tahun 2020, 67 hari pada tahun 2019 dan 80 hari pada tahun 2018.
Di bagian kerentanan yang ditambal tercepat disorot berada di kernel Linux dan disebutkan rata-rata 15, 22 dan 32 hari pada tahun 2021, 2020 dan 2019.
sementara Microsoft adalah yang paling lambat merilis tambalan, mengambil rata-rata 76, 87 dan 85 hari untuk melakukannya (menurut tabel pertama dengan total waktu, Oracle lebih lambat untuk merespons: 109 hari untuk melakukannya). Apple membutuhkan waktu rata-rata 64, 63, dan 71 hari untuk memperbaikinya. Untuk produk Google, waktu rata-rata untuk membuat patch selama bertahun-tahun adalah 53, 22, dan 49 hari.
Ada sejumlah peringatan dengan data kami, yang terbesar adalah bahwa kami akan melihat sejumlah kecil sampel, sehingga perbedaan dalam jumlah mungkin signifikan atau tidak signifikan secara statistik.
Selanjutnya, arah penelitian Project Zero hampir seluruhnya dipengaruhi oleh pilihan peneliti individu, sehingga perubahan dalam tujuan penelitian kami dapat mengubah metrik sebanyak perubahan perilaku vendor. Sejauh mungkin, publikasi ini dirancang untuk menjadi penyajian data yang objektif, dengan analisis subjektif tambahan disertakan di bagian akhir.
Dari produsen browser, perbaikan dibuat paling cepat untuk Chrome, tetapi rilis setelah munculnya perbaikan membuat Firefox lebih cepat (di Chrome dan Safari, kerentanan yang sudah diperbaiki dalam kode tetap tersembunyi untuk pengguna untuk waktu yang lama, yang digunakan oleh penyerang).
Terakhir, disebutkan bahwa seiring waktu, penyedia memperbaiki hampir semua kesalahan yang mereka terima dan umumnya, mereka melakukannya dalam 90 hari ditambah masa tenggang 14 hari bila diperlukan.
Selama tiga tahun terakhir, sebagian besar vendor telah mempercepat penambalan mereka, secara efektif mengurangi waktu rata-rata keseluruhan untuk memperbaiki menjadi sekitar 52 hari.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentangnya Anda dapat memeriksa detailnya di link berikut.