数日前 Google ProjectZeroチームの研究者が結果を発表しました データを要約することによって 以前のメーカーの応答時間について の発見 製品の新しい脆弱性。
Googleのポリシーに従って、脆弱性を取り除くために90日が与えられます Google Project Zeroの研究者によって、リリース前に特定され、さらに公開されることも認められています。 別のリクエストでさらに14日間変更できます。
したがって、基本的に、104日後、問題にパッチが適用されていない場合でも、脆弱性が明らかになります。
2019年から2021年まで、 プロジェクトは376の問題を特定しました、そのうち351(93,4%) それらは修正されました、 11(2,9%)の脆弱性はパッチが適用されないままであり、別の14(3,7%)の問題は修正不可能とマークされました(WontFix)。
長年にわたって、脆弱性の数が減少しています パッチがパッチに割り当てられた時間内に収まらない場合:2021年に、14%がパッチを適用するために追加の14日を要求し、開示前にパッチが適用されなかった脆弱性はXNUMXつだけでした。
この投稿では、2019年2021月から2019年XNUMX月の間に報告された修正済みのバグを確認します(XNUMX年は開示ポリシーを変更した年であり、報告されたバグに関するより詳細な指標の追跡も開始しました)。
参照するデータは、Project Zero Bug Trackerおよびさまざまなオープンソースプロジェクトリポジトリで公開されています(オープンソースブラウザのバグのタイムラインを追跡するために以下で使用されるデータの場合)。
ベンダー |
バグの総数 |
90日目までに修正 |
中に修正 |
締め切りを過ぎた &猶予期間 |
修正する平均日数 |
Apple |
84 |
73(87%) |
7(8%) |
4(5%) |
69 |
Microsoft |
80 |
61(76%) |
15(19%) |
4(5%) |
83 |
でログイン |
56 |
53(95%) |
2(4%) |
1(2%) |
44 |
Linux |
25 |
24(96%) |
0(0%) |
1(4%) |
25 |
Adobe |
19 |
15(79%) |
4(21%) |
0(0%) |
65 |
モジラ |
10 |
9(90%) |
1(10%) |
0(0%) |
46 |
サムスン |
10 |
8(80%) |
2(20%) |
0(0%) |
72 |
オラクル |
7 |
3(43%) |
0(0%) |
4(57%) |
109 |
その他* |
55 |
48(87%) |
3(5%) |
4(7%) |
44 |
合計 |
346 |
294(84%) |
34(10%) |
18(5%) |
61 |
平均して、 脆弱性の修正には平均52日かかります 2021年には、54年には2020日、67年には2019日、80年には2018日でした。
の側で パッチが適用された最速の脆弱性は、Linuxカーネルにあることが強調表示されています そして、15年、22年、32年の平均は2021、2020、2019日であると言われています。
つつ Microsoftはパッチのリリースが最も遅かった、これを行うのに平均76、87、および85日かかります(合計時間の最初の表によると、Oracleの応答は遅くなりました:そうするのに109日かかりました)。 Appleはそれを修正するのに平均64、63、71日かかりました。 Google製品の場合、パッチを生成するための平均時間は、53日、22日、および49日でした。
私たちのデータにはいくつかの注意点がありますが、その最大のものは少数のサンプルを調べることであるため、数の違いは統計的に有意である場合とそうでない場合があります。
さらに、Project Zeroの調査の方向性は、ほぼ完全に個々の研究者の選択に影響されるため、調査目的の変更は、ベンダーの行動の変更と同じくらいメトリックを変更する可能性があります。 可能な限り、この出版物はデータの客観的な提示となるように設計されており、最後に追加の主観的分析が含まれています。
ブラウザメーカーの中で、修正はChromeで最も速く生成されます、ただし、修正が行われた後のリリースにより、Firefoxが高速化されます(ChromeとSafariでは、コードの修正済みの脆弱性がユーザーに長期間隠されたままになり、攻撃者によって使用されます)。
最後に、時間の経過とともに、プロバイダーは受け取ったほとんどすべてのエラーを修正し、通常、90日と必要に応じて14日の猶予期間内に修正することに言及しています。
過去52年間で、ベンダーはほとんどの場合、パッチを高速化し、修正にかかる全体の平均時間を約XNUMX日に短縮しました。
最後に、 あなたがそれについてもっと知りたいなら あなたはで詳細を確認することができます 次のリンク。