prieš kelias dienas „Google Project Zero“ komandos tyrėjai paskelbė rezultatus susumavus duomenis apie gamintojų reakcijos laiką prieš atradimas naujų pažeidžiamumų savo gaminiuose.
Pagal Google politiką, pažeidžiamumui pašalinti suteikiama 90 dienų identifikavo „Google Project Zero“ tyrėjai, prieš juos išleidžiant, taip pat suteikiamas tolesnis viešas atskleidimas. atskiru prašymu gali būti keičiamas dar 14 dienų.
Taigi iš esmės po 104 dienų pažeidžiamumas atskleidžiamas, net jei problema vis dar nepataisyta.
Nuo 2019 iki 2021 m. projekto metu buvo nustatytos 376 problemos, iš jų 351 (93,4 proc.) Jie buvo pataisyti, 11 (2,9 %) pažeidžiamumų liko nepataisyti, o dar 14 (3,7 %) problemų buvo pažymėtos kaip nepataisomos (WontFix).
Metams bėgant, pažeidžiamumų skaičius sumažėjo kurių pataisos netelpa per skirtą pataisymo laiką: 2021 m. 14 % paprašė papildomų 14 dienų pataisymui ir tik vienas pažeidžiamumas nebuvo pataisytas prieš atskleidžiant.
Šiame įraše apžvelgiame ištaisytas klaidas, apie kurias pranešta nuo 2019 m. sausio mėn. iki 2021 m. gruodžio mėn. (2019 m. pakeitėme atskleidimo politiką, taip pat pradėjome sekti išsamesnę metriką apie praneštas klaidas).
Duomenys, kuriuos remsimės, yra viešai prieinami „Project Zero Bug Tracker“ ir įvairiose atvirojo kodo projektų saugyklose (jei toliau naudojami duomenys atvirojo kodo naršyklės klaidų laiko juostai sekti).
|
Pardavėjas |
Iš viso klaidų |
Ištaisyta iki 90 dienos |
nustatytas metu |
Viršytas terminas & lengvatinis laikotarpis |
Vidutinis taisymo dienų skaičius |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
"Microsoft" |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
"Google" |
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
plaušamolis |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
"Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
"Samsung" |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
orakulas |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
kiti* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
IŠ VISO |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Vidutiniškai minima, kad pažeidžiamumui pašalinti vidutiniškai prireikia 52 dienų 2021 m., 54 dienas 2020 m., 67 dienas 2019 m. ir 80 dienų 2018 m.
Iš paryškintos, kad greičiausiai pataisytos spragos yra „Linux“ branduolyje ir minima, kad tai yra 15, 22 ir 32 dienų vidurkis 2021, 2020 ir 2019 m.
O „Microsoft“ lėčiausiai išleido pataisą, tam prireikė vidutiniškai 76, 87 ir 85 dienų (pagal pirmąją lentelę su visu laiku, „Oracle“ reagavo lėčiau: tai padaryti prireikė 109 dienų). „Apple“ vidutiniškai užtruko 64, 63 ir 71 dieną, kad ją ištaisytų. Vidutinis „Google“ produktų pataisų generavimo laikas per metus buvo 53, 22 ir 49 dienos.
Mūsų duomenyse yra keletas įspėjimų, iš kurių didžiausias yra tas, kad mes žiūrėsime į nedidelį pavyzdžių skaičių, todėl skaičių skirtumai gali būti statistiškai reikšmingi arba ne.
Be to, „Project Zero“ tyrimų kryptis beveik visiškai įtakoja atskirų tyrėjų pasirinkimai, todėl mūsų tyrimo tikslų pokyčiai gali pakeisti rodiklius tiek pat, kiek pardavėjų elgsenos pokyčiai. Kiek įmanoma, šis leidinys skirtas objektyviai pateikti duomenis, o pabaigoje įtraukta papildoma subjektyvi analizė.
Iš naršyklių gamintojų „Chrome“ pataisymai generuojami greičiausiai, tačiau išleidus po pataisos, „Firefox“ tampa greitesnis (Chrome ir Safari jau ištaisytas kode pažeidžiamumas ilgą laiką lieka paslėptas vartotojams, kuriuo naudojasi užpuolikai).
Galiausiai paminėta, kad laikui bėgant paslaugų teikėjai ištaiso beveik visas gautas klaidas ir paprastai tai padaro per 90 dienų ir prireikus 14 dienų lengvatinį laikotarpį.
Per pastaruosius trejus metus pardavėjai dažniausiai paspartino pataisymą, efektyviai sumažindami bendrą vidutinį pataisymo laiką iki maždaug 52 dienų.
Galiausiai, jei norite sužinoti daugiau apie tai išsamią informaciją galite patikrinti sekanti nuoroda.