Kerentanan Linux adalah yang paling pantas untuk diperbaiki mengikut laporan Google Project Zero

Darkcrizt

Minit 4

beberapa hari lepas Penyelidik dari pasukan Google Project Zero mengeluarkan hasilnya dengan meringkaskan data pada masa tindak balas pengeluar sebelum ini penemuan kelemahan baharu dalam produk mereka.

Selaras dengan dasar Google, 90 hari diberikan untuk menghapuskan kelemahan dikenal pasti oleh penyelidik Google Project Zero, sebelum ia dikeluarkan, dan pendedahan awam selanjutnya turut diberikan. boleh ditukar selama 14 hari lagi dengan permintaan berasingan.

Jadi pada asasnya, selepas 104 hari, kelemahan itu didedahkan walaupun isu itu masih belum ditambal.

Dari 2019 hingga 2021, projek itu mengenal pasti 376 masalah, di mana 351 (93,4%) Mereka telah diperbetulkan, manakala 11 (2,9%) kelemahan kekal tidak ditambal dan 14 (3,7%) isu lagi ditanda tidak boleh diperbaiki (WontFix).

Selama bertahun-tahun, terdapat penurunan dalam bilangan kelemahan yang mana tampalan tidak sesuai dalam masa yang diperuntukkan untuk menampal: Pada tahun 2021, 14% meminta tambahan 14 hari untuk menampal dan hanya satu kerentanan tidak ditampal sebelum pendedahan.

Untuk siaran ini, kami melihat pepijat tetap yang dilaporkan antara Januari 2019 dan Disember 2021 (2019 ialah tahun kami membuat perubahan pada dasar pendedahan kami dan kami juga mula menjejaki metrik yang lebih terperinci tentang pepijat kami yang dilaporkan).

Data yang akan kami rujuk tersedia secara terbuka di Project Zero Bug Tracker dan pelbagai repositori projek sumber terbuka (dalam kes data yang digunakan di bawah untuk menjejaki garis masa pepijat penyemak imbas sumber terbuka ).

Penjual

Jumlah pepijat

Ditetapkan pada hari ke-90

tetap semasa
tempoh penangguhan

Melebihi tarikh akhir

& tempoh penangguhan

Purata hari untuk dibetulkan

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

Sebagainya*

55

48 (87%)

3 (5%)

4 (7%)

44

JUMLAH

346

294 (84%)

34 (10%)

18 (5%)

61

Rata-rata disebut demikian ia mengambil masa purata 52 hari untuk membetulkan kerentanan pada 2021, 54 hari pada 2020, 67 hari pada 2019 dan 80 hari pada 2018.

Di bahagian kelemahan tampalan terpantas diserlahkan untuk berada dalam kernel Linux dan disebutkan bahawa ia adalah purata 15, 22 dan 32 hari pada 2021, 2020 dan 2019.

manakala Microsoft adalah yang paling lambat mengeluarkan patch, mengambil purata 76, 87 dan 85 hari untuk berbuat demikian (mengikut jadual pertama dengan jumlah masa, Oracle lebih perlahan untuk bertindak balas: 109 hari untuk berbuat demikian). Apple mengambil purata 64, 63 dan 71 hari untuk membetulkannya. Untuk produk Google, purata masa untuk menjana tampung selama bertahun-tahun ialah 53, 22 dan 49 hari.

Terdapat beberapa kaveat dengan data kami, yang terbesar ialah kami akan melihat sebilangan kecil sampel, jadi perbezaan dalam nombor mungkin atau mungkin tidak signifikan secara statistik.

Selain itu, hala tuju penyelidikan Project Zero dipengaruhi hampir keseluruhannya oleh pilihan penyelidik individu, jadi perubahan dalam objektif penyelidikan kami boleh mengubah metrik sama seperti perubahan dalam tingkah laku vendor. Seboleh-bolehnya, penerbitan ini direka bentuk untuk menjadi persembahan objektif data, dengan analisis subjektif tambahan disertakan pada penghujungnya.

Daripada pengeluar penyemak imbas, pembetulan dijana paling cepat untuk Chrome, tetapi keluaran selepas kemunculan pembetulan menjadikan Firefox lebih pantas (dalam Chrome dan Safari, kelemahan yang telah ditetapkan dalam kod kekal tersembunyi untuk pengguna untuk masa yang lama, yang digunakan oleh penyerang).

Akhir sekali, disebutkan bahawa dari semasa ke semasa, pembekal membetulkan hampir semua ralat yang mereka terima dan secara amnya, mereka melakukannya dalam masa 90 hari ditambah dengan tempoh tangguh selama 14 hari apabila perlu.

Sepanjang tiga tahun yang lalu, vendor, sebahagian besarnya, telah mempercepatkan tampung mereka dengan berkesan mengurangkan purata masa keseluruhan untuk diperbaiki kepada kira-kira 52 hari.

Akhirnya, sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya anda boleh menyemak butiran di pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.