beberapa hari lepas Penyelidik dari pasukan Google Project Zero mengeluarkan hasilnya dengan meringkaskan data pada masa tindak balas pengeluar sebelum ini penemuan kelemahan baharu dalam produk mereka.
Selaras dengan dasar Google, 90 hari diberikan untuk menghapuskan kelemahan dikenal pasti oleh penyelidik Google Project Zero, sebelum ia dikeluarkan, dan pendedahan awam selanjutnya turut diberikan. boleh ditukar selama 14 hari lagi dengan permintaan berasingan.
Jadi pada asasnya, selepas 104 hari, kelemahan itu didedahkan walaupun isu itu masih belum ditambal.
Dari 2019 hingga 2021, projek itu mengenal pasti 376 masalah, di mana 351 (93,4%) Mereka telah diperbetulkan, manakala 11 (2,9%) kelemahan kekal tidak ditambal dan 14 (3,7%) isu lagi ditanda tidak boleh diperbaiki (WontFix).
Selama bertahun-tahun, terdapat penurunan dalam bilangan kelemahan yang mana tampalan tidak sesuai dalam masa yang diperuntukkan untuk menampal: Pada tahun 2021, 14% meminta tambahan 14 hari untuk menampal dan hanya satu kerentanan tidak ditampal sebelum pendedahan.
Untuk siaran ini, kami melihat pepijat tetap yang dilaporkan antara Januari 2019 dan Disember 2021 (2019 ialah tahun kami membuat perubahan pada dasar pendedahan kami dan kami juga mula menjejaki metrik yang lebih terperinci tentang pepijat kami yang dilaporkan).
Data yang akan kami rujuk tersedia secara terbuka di Project Zero Bug Tracker dan pelbagai repositori projek sumber terbuka (dalam kes data yang digunakan di bawah untuk menjejaki garis masa pepijat penyemak imbas sumber terbuka ).
Penjual |
Jumlah pepijat |
Ditetapkan pada hari ke-90 |
tetap semasa |
Melebihi tarikh akhir & tempoh penangguhan |
Purata hari untuk dibetulkan |
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
Sebagainya* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
JUMLAH |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Rata-rata disebut demikian ia mengambil masa purata 52 hari untuk membetulkan kerentanan pada 2021, 54 hari pada 2020, 67 hari pada 2019 dan 80 hari pada 2018.
Di bahagian kelemahan tampalan terpantas diserlahkan untuk berada dalam kernel Linux dan disebutkan bahawa ia adalah purata 15, 22 dan 32 hari pada 2021, 2020 dan 2019.
manakala Microsoft adalah yang paling lambat mengeluarkan patch, mengambil purata 76, 87 dan 85 hari untuk berbuat demikian (mengikut jadual pertama dengan jumlah masa, Oracle lebih perlahan untuk bertindak balas: 109 hari untuk berbuat demikian). Apple mengambil purata 64, 63 dan 71 hari untuk membetulkannya. Untuk produk Google, purata masa untuk menjana tampung selama bertahun-tahun ialah 53, 22 dan 49 hari.
Terdapat beberapa kaveat dengan data kami, yang terbesar ialah kami akan melihat sebilangan kecil sampel, jadi perbezaan dalam nombor mungkin atau mungkin tidak signifikan secara statistik.
Selain itu, hala tuju penyelidikan Project Zero dipengaruhi hampir keseluruhannya oleh pilihan penyelidik individu, jadi perubahan dalam objektif penyelidikan kami boleh mengubah metrik sama seperti perubahan dalam tingkah laku vendor. Seboleh-bolehnya, penerbitan ini direka bentuk untuk menjadi persembahan objektif data, dengan analisis subjektif tambahan disertakan pada penghujungnya.
Daripada pengeluar penyemak imbas, pembetulan dijana paling cepat untuk Chrome, tetapi keluaran selepas kemunculan pembetulan menjadikan Firefox lebih pantas (dalam Chrome dan Safari, kelemahan yang telah ditetapkan dalam kod kekal tersembunyi untuk pengguna untuk masa yang lama, yang digunakan oleh penyerang).
Akhir sekali, disebutkan bahawa dari semasa ke semasa, pembekal membetulkan hampir semua ralat yang mereka terima dan secara amnya, mereka melakukannya dalam masa 90 hari ditambah dengan tempoh tangguh selama 14 hari apabila perlu.
Sepanjang tiga tahun yang lalu, vendor, sebahagian besarnya, telah mempercepatkan tampung mereka dengan berkesan mengurangkan purata masa keseluruhan untuk diperbaiki kepada kira-kira 52 hari.
Akhirnya, sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya anda boleh menyemak butiran di pautan berikut.