qualche giorno fa il I ricercatori del team di Google Project Zero hanno rilasciato i risultati riassumendo i dati sul tempo di risposta dei produttori prima la scoperta di nuove vulnerabilità nei loro prodotti.
In conformità con la politica di Google, vengono concessi 90 giorni per rimuovere le vulnerabilità identificati dai ricercatori di Google Project Zero, prima che vengano rilasciati, e viene concessa anche un'ulteriore divulgazione al pubblico. può essere modificato per altri 14 giorni con una richiesta separata.
Quindi, in pratica, dopo 104 giorni, la vulnerabilità viene rivelata anche se il problema è ancora privo di patch.
Da 2019 a 2021, il progetto ha identificato 376 problemi, di cui 351 (93,4%) sono stati corretti, mentre 11 (2,9%) vulnerabilità sono rimaste senza patch e altri 14 (3,7%) problemi sono stati contrassegnati come non risolvibili (WontFix).
Negli anni, si è verificata una diminuzione del numero di vulnerabilità per le quali le patch non rientrano nel tempo assegnato per la patch: nel 2021, il 14% ha richiesto altri 14 giorni per la patch e solo una vulnerabilità non è stata corretta prima della divulgazione.
Per questo post, esaminiamo i bug corretti che sono stati segnalati tra gennaio 2019 e dicembre 2021 (il 2019 è l'anno in cui abbiamo apportato modifiche alle nostre politiche di divulgazione e abbiamo anche iniziato a monitorare metriche più dettagliate sui nostri bug segnalati).
I dati a cui faremo riferimento sono disponibili pubblicamente su Project Zero Bug Tracker e vari repository di progetti open source (nel caso dei dati utilizzati di seguito per tenere traccia della sequenza temporale dei bug del browser open source).
|
Venditore |
Bug totali |
Risolto entro il giorno 90 |
fisso durante |
Scadenza superata & periodo di grazia |
Giorni medi da risolvere |
|
Apple |
84 |
73 (% 87) |
7 (% 8) |
4 (% 5) |
69 |
|
Microsoft |
80 |
61 (% 76) |
15 (% 19) |
4 (% 5) |
83 |
|
|
56 |
53 (% 95) |
2 (% 4) |
1 (% 2) |
44 |
|
Linux |
25 |
24 (% 96) |
0 (% 0) |
1 (% 4) |
25 |
|
Adobe |
19 |
15 (% 79) |
4 (% 21) |
0 (% 0) |
65 |
|
Mozilla |
10 |
9 (% 90) |
1 (% 10) |
0 (% 0) |
46 |
|
Samsung |
10 |
8 (% 80) |
2 (% 20) |
0 (% 0) |
72 |
|
Oracle |
7 |
3 (% 43) |
0 (% 0) |
4 (% 57) |
109 |
|
Altri * |
55 |
48 (% 87) |
3 (% 5) |
4 (% 7) |
44 |
|
TOTALE |
346 |
294 (% 84) |
34 (% 10) |
18 (% 5) |
61 |
In media, si dice che sono necessari in media 52 giorni per correggere una vulnerabilità nel 2021, 54 giorni nel 2020, 67 giorni nel 2019 e 80 giorni nel 2018.
Dalla parte di le vulnerabilità con patch più veloci sono evidenziate per essere nel kernel Linux e si dice che è una media di 15, 22 e 32 giorni nel 2021, 2020 e 2019.
Mentre Microsoft è stata la più lenta a rilasciare una patch, impiegando in media 76, 87 e 85 giorni per farlo (secondo la prima tabella con un tempo totale, Oracle è stato più lento nel rispondere: 109 giorni per farlo). Apple ha impiegato in media 64, 63 e 71 giorni per risolverlo. Per i prodotti Google, il tempo medio per generare le patch nel corso degli anni è stato di 53, 22 e 49 giorni.
Ci sono una serie di avvertimenti con i nostri dati, il più grande dei quali è che esamineremo un piccolo numero di campioni, quindi le differenze nei numeri possono o non possono essere statisticamente significative.
Inoltre, la direzione della ricerca di Project Zero è influenzata quasi interamente dalle scelte dei singoli ricercatori, quindi i cambiamenti nei nostri obiettivi di ricerca potrebbero cambiare le metriche tanto quanto i cambiamenti nei comportamenti dei fornitori. Per quanto possibile, questa pubblicazione è progettata per essere una presentazione obiettiva dei dati, con un'ulteriore analisi soggettiva inclusa alla fine.
Tra i produttori di browser, le correzioni vengono generate più velocemente per Chrome, ma il rilascio dopo la comparsa della correzione rende Firefox più veloce (in Chrome e Safari, la vulnerabilità già risolta nel codice rimane nascosta per molto tempo agli utenti, che viene utilizzata dagli aggressori).
Infine, si ricorda che nel tempo i fornitori correggono quasi tutti gli errori che ricevono e generalmente lo fanno entro 90 giorni più il periodo di grazia di 14 giorni se necessario.
Negli ultimi tre anni, i fornitori hanno, per la maggior parte, accelerato la loro patch riducendo efficacemente il tempo medio complessivo per la correzione a circa 52 giorni.
Infine, se sei interessato a saperne di più puoi controllare i dettagli nel file seguente link