pirms dažām dienām Pētnieki no Google Project Zero komandas publicēja rezultātus apkopojot datus par ražotāju reakcijas laiku iepriekš atklāšanu jaunas ievainojamības savos produktos.
Saskaņā ar Google politiku, tiek dotas 90 dienas, lai novērstu ievainojamības identificējuši Google Project Zero pētnieki, pirms tie tiek publicēti, un tiek nodrošināta arī turpmāka publiskošana. var mainīt vēl uz 14 dienām ar atsevišķu pieprasījumu.
Tātad būtībā pēc 104 dienām ievainojamība tiek atklāta pat tad, ja problēma joprojām nav novērsta.
No 2019. līdz 2021. gadam, projektā tika konstatētas 376 problēmas, no kuriem 351 (93,4%) Tie tika izlaboti, savukārt 11 (2,9%) ievainojamības palika neizlabotas un vēl 14 (3,7%) problēmas tika atzīmētas kā nelabojamas (WontFix).
Gadu gaitā, ir samazinājies ievainojamību skaits kuriem ielāpi neietilpst atvēlētajā ielāpu laikā: 2021. gadā 14% pieprasīja papildu 14 dienas, lai ielāpotu, un tikai viena ievainojamība netika izlabota pirms atklāšanas.
Šajā ziņā mēs aplūkojam izlabotās kļūdas, par kurām ziņots laikā no 2019. gada janvāra līdz 2021. gada decembrim (2019. gads ir gads, kad veicām izmaiņas mūsu informācijas atklāšanas politikās, kā arī sākām izsekot detalizētāku metriku par ziņotajām kļūdām).
Dati, uz kuriem mēs atsauksimies, ir publiski pieejami vietnē Project Zero Bug Tracker un dažādos atvērtā pirmkoda projektu krātuvēs (ja dati tiek izmantoti tālāk, lai izsekotu atvērtā pirmkoda pārlūkprogrammas kļūdu laika skalu).
|
Ražotājs |
Kopējās kļūdas |
Izlabots līdz 90. dienai |
laikā fiksēts |
Pārsniegts termiņš & labvēlības periods |
Vidēji labošanas dienu skaits |
|
Manzana |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
nededzināts ķieģelis |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Orākuls |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
pārējie* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
KOPĀ |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Vidēji tiek minēts, ka ievainojamības novēršanai ir nepieciešamas vidēji 52 dienas 2021. gadā, 54 dienas 2020. gadā, 67 dienas 2019. gadā un 80 dienas 2018. gadā.
No visātrāk izlabotās ievainojamības ir izceltas kā Linux kodolā un minēts, ka tas ir vidēji 15, 22 un 32 dienas 2021., 2020. un 2019. gadā.
kamēr Microsoft bija vislēnākais, kas izlaida ielāpu, lai to paveiktu vidēji 76, 87 un 85 dienas (saskaņā ar pirmo tabulu ar kopējo laiku, Oracle reaģēja lēnāk: 109 dienas, lai to izdarītu). Lai to labotu, Apple prasīja vidēji 64, 63 un 71 dienu. Google produktiem vidējais ielāpu ģenerēšanas laiks gadu gaitā bija 53, 22 un 49 dienas.
Mūsu datiem ir vairāki brīdinājumi, no kuriem lielākais ir tas, ka mēs izskatīsim nelielu skaitu paraugu, tāpēc skaitļu atšķirības var būt vai nebūt statistiski nozīmīgas.
Turklāt projekta nulles pētījumu virzienu gandrīz pilnībā ietekmē atsevišķu pētnieku izvēle, tāpēc izmaiņas mūsu pētniecības mērķos var mainīt metriku tikpat daudz kā pārdevēju uzvedības izmaiņas. Iespēju robežās šī publikācija ir veidota tā, lai objektīvi atspoguļotu datus, beigās iekļaujot papildu subjektīvo analīzi.
No pārlūkprogrammu ražotājiem visātrāk tiek ģenerēti labojumi pārlūkam Chrome, taču izlaidums pēc labojuma parādīšanās padara Firefox ātrāku (Chrome un Safari jau fiksētā ievainojamība kodā ilgstoši paliek lietotājiem paslēpta, ko izmanto uzbrucēji).
Visbeidzot, tiek minēts, ka laika gaitā pakalpojumu sniedzēji izlabo gandrīz visas saņemtās kļūdas, un parasti viņi to izdara 90 dienu laikā, kā arī vajadzības gadījumā 14 dienu labvēlības periodu.
Pēdējo trīs gadu laikā pārdevēji lielākoties ir paātrinājuši savu ielāpu, efektīvi samazinot kopējo vidējo labošanas laiku līdz aptuveni 52 dienām.
Visbeidzot, ja jūs interesē uzzināt vairāk par to sīkāku informāciju varat pārbaudīt šī saite.