Saskaņā ar Google Project Zero ziņojumu visātrāk tiek novērstas Linux ievainojamības

pirms dažām dienām Pētnieki no Google Project Zero komandas publicēja rezultātus apkopojot datus par ražotāju reakcijas laiku iepriekš atklāšanu jaunas ievainojamības savos produktos.

Saskaņā ar Google politiku, tiek dotas 90 dienas, lai novērstu ievainojamības identificējuši Google Project Zero pētnieki, pirms tie tiek publicēti, un tiek nodrošināta arī turpmāka publiskošana. var mainīt vēl uz 14 dienām ar atsevišķu pieprasījumu.

Tātad būtībā pēc 104 dienām ievainojamība tiek atklāta pat tad, ja problēma joprojām nav novērsta.

No 2019. līdz 2021. gadam, projektā tika konstatētas 376 problēmas, no kuriem 351 (93,4%) Tie tika izlaboti, savukārt 11 (2,9%) ievainojamības palika neizlabotas un vēl 14 (3,7%) problēmas tika atzīmētas kā nelabojamas (WontFix).

Gadu gaitā, ir samazinājies ievainojamību skaits kuriem ielāpi neietilpst atvēlētajā ielāpu laikā: 2021. gadā 14% pieprasīja papildu 14 dienas, lai ielāpotu, un tikai viena ievainojamība netika izlabota pirms atklāšanas.

Šajā ziņā mēs aplūkojam izlabotās kļūdas, par kurām ziņots laikā no 2019. gada janvāra līdz 2021. gada decembrim (2019. gads ir gads, kad veicām izmaiņas mūsu informācijas atklāšanas politikās, kā arī sākām izsekot detalizētāku metriku par ziņotajām kļūdām).

Dati, uz kuriem mēs atsauksimies, ir publiski pieejami vietnē Project Zero Bug Tracker un dažādos atvērtā pirmkoda projektu krātuvēs (ja dati tiek izmantoti tālāk, lai izsekotu atvērtā pirmkoda pārlūkprogrammas kļūdu laika skalu).

Ražotājs

Kopējās kļūdas

Izlabots līdz 90. dienai

laikā fiksēts
labvēlības periods

Pārsniegts termiņš

& labvēlības periods

Vidēji labošanas dienu skaits

ābols

84

73 (87%)

7 (8%)

4 (5%)

69

microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

nededzināts ķieģelis

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Orākuls

7

3 (43%)

0 (0%)

4 (57%)

109

pārējie*

55

48 (87%)

3 (5%)

4 (7%)

44

KOPĀ

346

294 (84%)

34 (10%)

18 (5%)

61

Vidēji tiek minēts, ka ievainojamības novēršanai ir nepieciešamas vidēji 52 dienas 2021. gadā, 54 dienas 2020. gadā, 67 dienas 2019. gadā un 80 dienas 2018. gadā.

No visātrāk izlabotās ievainojamības ir izceltas kā Linux kodolā un minēts, ka tas ir vidēji 15, 22 un 32 dienas 2021., 2020. un 2019. gadā.

kamēr Microsoft bija vislēnākais, kas izlaida ielāpu, lai to paveiktu vidēji 76, 87 un 85 dienas (saskaņā ar pirmo tabulu ar kopējo laiku, Oracle reaģēja lēnāk: 109 dienas, lai to izdarītu). Lai to labotu, Apple prasīja vidēji 64, 63 un 71 dienu. Google produktiem vidējais ielāpu ģenerēšanas laiks gadu gaitā bija 53, 22 un 49 dienas.

Mūsu datiem ir vairāki brīdinājumi, no kuriem lielākais ir tas, ka mēs izskatīsim nelielu skaitu paraugu, tāpēc skaitļu atšķirības var būt vai nebūt statistiski nozīmīgas.

Turklāt projekta nulles pētījumu virzienu gandrīz pilnībā ietekmē atsevišķu pētnieku izvēle, tāpēc izmaiņas mūsu pētniecības mērķos var mainīt metriku tikpat daudz kā pārdevēju uzvedības izmaiņas. Iespēju robežās šī publikācija ir veidota tā, lai objektīvi atspoguļotu datus, beigās iekļaujot papildu subjektīvo analīzi.

No pārlūkprogrammu ražotājiem visātrāk tiek ģenerēti labojumi pārlūkam Chrome, taču izlaidums pēc labojuma parādīšanās padara Firefox ātrāku (Chrome un Safari jau fiksētā ievainojamība kodā ilgstoši paliek lietotājiem paslēpta, ko izmanto uzbrucēji).

Visbeidzot, tiek minēts, ka laika gaitā pakalpojumu sniedzēji izlabo gandrīz visas saņemtās kļūdas, un parasti viņi to izdara 90 dienu laikā, kā arī vajadzības gadījumā 14 dienu labvēlības periodu.

Pēdējo trīs gadu laikā pārdevēji lielākoties ir paātrinājuši savu ielāpu, efektīvi samazinot kopējo vidējo labošanas laiku līdz aptuveni 52 dienām.

Visbeidzot, ja jūs interesē uzzināt vairāk par to sīkāku informāciju varat pārbaudīt šī saite.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta.

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.