며칠 전 Google Project Zero 팀의 연구원들이 결과를 발표했습니다. 데이터를 요약하여 전에 제조사의 응답 시간에 의 발견 그들의 제품에 있는 새로운 취약점.
Google 정책에 따라, 취약점을 제거하기 위해 90일이 주어집니다. 공개되기 전에 Google Project Zero 연구원이 식별하고 추가 공개도 허용됩니다. 별도 요청 시 14일 추가 변경 가능합니다.
따라서 기본적으로 104일이 지나면 패치가 적용되지 않은 문제라도 취약점이 드러납니다.
2019 년부터 2021 년까지 이 프로젝트는 376개의 문제를 식별했습니다., 그 중 351개(93,4%) 그들은 시정되었고, 반면 11개(2,9%) 취약점은 패치되지 않은 상태로 남아 있고 다른 14개(3,7%) 문제는 수정할 수 없는 것으로 표시되었습니다(WontFix).
수년에 걸쳐, 취약점 수가 감소했습니다. 패치가 할당된 패치 시간 내에 맞지 않는 경우: 2021년에 14%가 패치를 위해 추가 14일을 요청했으며 공개 전에 단 하나의 취약점이 패치되지 않았습니다.
이 게시물에서는 2019년 2021월과 2019년 XNUMX월 사이에 보고된 수정된 버그를 살펴봅니다(XNUMX년은 공개 정책을 변경한 해이며 보고된 버그에 대한 더 자세한 측정항목을 추적하기 시작했습니다).
참조할 데이터는 Project Zero Bug Tracker 및 다양한 오픈 소스 프로젝트 리포지토리에서 공개적으로 사용할 수 있습니다(오픈 소스 브라우저 버그의 타임라인을 추적하기 위해 아래에 사용된 데이터의 경우).
|
공급 업체 |
총 버그 |
90일까지 수정됨 |
동안 고정 |
기한 초과 & 유예 기간 |
평균 수정 일수 |
|
Apple |
84 |
73 (87의 %) |
7 (8의 %) |
4 (5의 %) |
69 |
|
Microsoft |
80 |
61 (76의 %) |
15 (19의 %) |
4 (5의 %) |
83 |
|
구글 |
56 |
53 (95의 %) |
2 (4의 %) |
1 (2의 %) |
44 |
|
Linux |
25 |
24 (96의 %) |
0 (0의 %) |
1 (4의 %) |
25 |
|
어도비 벽돌 |
19 |
15 (79의 %) |
4 (21의 %) |
0 (0의 %) |
65 |
|
모질라 |
10 |
9 (90의 %) |
1 (10의 %) |
0 (0의 %) |
46 |
|
삼성 |
10 |
8 (80의 %) |
2 (20의 %) |
0 (0의 %) |
72 |
|
신탁 |
7 |
3 (43의 %) |
0 (0의 %) |
4 (57의 %) |
109 |
|
기타* |
55 |
48 (87의 %) |
3 (5의 %) |
4 (7의 %) |
44 |
|
TOTAL |
346 |
294 (84의 %) |
34 (10의 %) |
18 (5의 %) |
61 |
평균적으로 다음과 같이 언급됩니다. 취약점을 수정하는 데 평균 52일이 걸립니다. 2021년에는 54일, 2020년에는 67일, 2019년에는 80일, 2018년에는 XNUMX일입니다.
의 부분 가장 빠르게 패치된 취약점은 Linux 커널에서 강조 표시됩니다. 그리고 15년, 22년, 32년 평균 2021일, 2020일, 2019일이라고 합니다.
동안 Microsoft는 패치를 출시하는 데 가장 느렸습니다., 그렇게 하는 데 평균 76, 87, 85일이 소요되었습니다(총 시간이 포함된 첫 번째 표에 따르면 Oracle은 응답 속도가 더 느렸습니다. 그렇게 하는 데 109일이 소요되었습니다). Apple은 문제를 해결하는 데 평균 64일, 63일 및 71일이 걸렸습니다.. Google 제품의 경우 패치를 생성하는 평균 시간은 53일, 22일, 49일이었습니다.
데이터에는 여러 가지 주의 사항이 있으며 그 중 가장 큰 것은 적은 수의 샘플을 볼 것이기 때문에 숫자의 차이가 통계적으로 유의할 수도 있고 그렇지 않을 수도 있다는 것입니다.
또한 Project Zero 연구의 방향은 거의 전적으로 개별 연구원의 선택에 영향을 받으므로 연구 목표의 변경은 공급업체 행동의 변경만큼 메트릭을 변경할 수 있습니다. 가능한 한 이 출판물은 데이터의 객관적인 표현이 되도록 설계되었으며 마지막에 추가적인 주관적 분석이 포함되어 있습니다.
브라우저 제조업체 중 Chrome에서 가장 빠르게 수정 사항이 생성됩니다., 그러나 수정 사항이 나타난 후 릴리스는 Firefox를 더 빠르게 만듭니다(Chrome 및 Safari에서 코드의 이미 수정된 취약점은 공격자가 사용하는 오랫동안 사용자에게 숨겨져 있습니다).
마지막으로 시간이 지남에 따라 공급자는 수신한 거의 모든 오류를 수정하며 일반적으로 필요한 경우 90일의 유예 기간을 더한 14일 이내에 수정한다고 언급되어 있습니다.
지난 52년 동안 공급업체는 대부분 패치를 효과적으로 가속화하여 전체 평균 수정 시간을 약 XNUMX일로 단축했습니다.
마지막으로, 그것에 대해 더 많이 알고 싶다면 당신은에서 세부 사항을 확인할 수 있습니다 다음 링크.