een paar dagen geleden de Onderzoekers van het Google Project Zero-team hebben de resultaten vrijgegeven door de gegevens samen te vatten op de responstijd van de fabrikanten voordat de ontdekking van nieuwe kwetsbaarheden in hun producten.
In overeenstemming met het Google-beleid, 90 dagen worden gegeven om de kwetsbaarheden te verwijderen geïdentificeerd door Google Project Zero-onderzoekers, voordat ze worden vrijgegeven, en verdere openbaarmaking wordt ook toegestaan. kan met een apart verzoek voor nog eens 14 dagen worden gewijzigd.
Dus eigenlijk wordt de kwetsbaarheid na 104 dagen onthuld, zelfs als het probleem nog steeds niet is gepatcht.
Van 2019 tot 2021, het project identificeerde 376 problemen, waarvan 351 (93,4%) Ze werden gecorrigeerd, terwijl 11 (2,9%) kwetsbaarheden ongepatcht bleven en nog eens 14 (3,7%) problemen als onherstelbaar werden aangemerkt (WontFix).
A lo largo de los años, er is een afname van het aantal kwetsbaarheden waarvoor patches niet passen binnen de toegewezen tijd om te patchen: In 2021 vroeg 14% om 14 dagen extra om te patchen, en slechts één kwetsbaarheid werd niet gepatcht voordat deze bekend werd.
Voor dit bericht kijken we naar opgeloste bugs die zijn gemeld tussen januari 2019 en december 2021 (2019 is het jaar waarin we wijzigingen hebben aangebracht in ons openbaarmakingsbeleid en we zijn ook begonnen met het bijhouden van meer gedetailleerde statistieken over onze gerapporteerde bugs).
De gegevens waarnaar we verwijzen, zijn openbaar beschikbaar op Project Zero Bug Tracker en verschillende open source projectrepository's (in het geval van gegevens die hieronder worden gebruikt om de tijdlijn van open source browserbugs te volgen).
|
Verkoper |
Totaal aantal fouten |
Vast per dag 90 |
vast tijdens |
Deadline overschreden & respijtperiode |
Gem. dagen om te repareren |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
Kopen Google Reviews |
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Overig* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
TOTAAL |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Gemiddeld wordt vermeld dat: het duurt gemiddeld 52 dagen om een kwetsbaarheid te verhelpen in 2021, 54 dagen in 2020, 67 dagen in 2019 en 80 dagen in 2018.
Van de kant van de snelst gepatchte kwetsbaarheden zijn gemarkeerd in de Linux-kernel en er wordt vermeld dat het in 15, 22 en 32 gemiddeld 2021, 2020 en 2019 dagen is.
Terwijl Microsoft was de langzaamste om een patch uit te brengen, met een gemiddelde van 76, 87 en 85 dagen om dit te doen (volgens de eerste tabel met een totale tijd, reageerde Oracle langzamer: 109 dagen om dit te doen). Apple heeft er gemiddeld 64, 63 en 71 dagen over gedaan om het te repareren. Voor Google-producten was de gemiddelde tijd om patches door de jaren heen te genereren 53, 22 en 49 dagen.
Er zijn een aantal kanttekeningen bij onze gegevens, waarvan de grootste is dat we naar een klein aantal steekproeven zullen kijken, dus verschillen in aantallen kunnen al dan niet statistisch significant zijn.
Bovendien wordt de richting van Project Zero-onderzoek bijna volledig beïnvloed door de keuzes van individuele onderzoekers, dus veranderingen in onze onderzoeksdoelstellingen kunnen de statistieken net zo veranderen als veranderingen in het gedrag van leveranciers. Voor zover mogelijk is deze publicatie bedoeld als een objectieve presentatie van de gegevens, met aan het eind aanvullende subjectieve analyse.
Van de browserfabrikanten worden fixes het snelst gegenereerd voor Chrome, maar de release na het verschijnen van de fix maakt Firefox sneller (in Chrome en Safari blijft de reeds opgeloste kwetsbaarheid in de code lang verborgen voor gebruikers, die door aanvallers wordt gebruikt).
Ten slotte wordt vermeld dat providers na verloop van tijd bijna alle fouten corrigeren die ze ontvangen en over het algemeen doen ze dit binnen 90 dagen plus de respijtperiode van 14 dagen indien nodig.
In de afgelopen drie jaar hebben leveranciers hun patch voor het grootste deel versneld, waardoor de totale gemiddelde reparatietijd tot ongeveer 52 dagen is teruggebracht.
Tenslotte als u er meer over wilt weten u kunt de details in het volgende link.