há alguns dias o Pesquisadores da equipe do Google Project Zero divulgaram os resultados resumindo os dados no tempo de resposta dos fabricantes antes a descoberta de novas vulnerabilidades em seus produtos.
De acordo com a política do Google, 90 dias são dados para remover as vulnerabilidades identificados pelos pesquisadores do Google Project Zero, antes de serem lançados, e divulgação pública adicional também é concedida. pode ser alterado por mais 14 dias com um pedido separado.
Então, basicamente, após 104 dias, a vulnerabilidade é revelada mesmo que o problema ainda não tenha sido corrigido.
2019 a 2021, o projeto identificou 376 problemas, dos quais 351 (93,4%) Eles foram corrigidos, enquanto 11 (2,9%) vulnerabilidades permaneceram sem correção e outros 14 (3,7%) problemas foram marcados como incorrigíveis (WontFix).
Ao passar dos anos, houve uma diminuição no número de vulnerabilidades para os quais os patches não se encaixam no tempo alocado para corrigir: em 2021, 14% solicitaram mais 14 dias para corrigir e apenas uma vulnerabilidade não foi corrigida antes da divulgação.
Para esta postagem, analisamos os bugs corrigidos que foram relatados entre janeiro de 2019 e dezembro de 2021 (2019 é o ano em que fizemos alterações em nossas políticas de divulgação e também começamos a rastrear métricas mais detalhadas sobre nossos bugs relatados).
Os dados que iremos referenciar estão disponíveis publicamente no Project Zero Bug Tracker e em vários repositórios de projetos de código aberto (no caso dos dados usados abaixo para rastrear a linha do tempo de bugs do navegador de código aberto).
|
Vendedor |
Total de erros |
Corrigido no dia 90 |
fixo durante |
Prazo excedido & período de carência |
Média de dias para corrigir |
|
Apple |
84 |
73 (% 87) |
7 (% 8) |
4 (% 5) |
69 |
|
Microsoft |
80 |
61 (% 76) |
15 (% 19) |
4 (% 5) |
83 |
|
|
56 |
53 (% 95) |
2 (% 4) |
1 (% 2) |
44 |
|
Linux |
25 |
24 (% 96) |
0 (% 0) |
1 (% 4) |
25 |
|
adobe |
19 |
15 (% 79) |
4 (% 21) |
0 (% 0) |
65 |
|
Mozilla |
10 |
9 (% 90) |
1 (% 10) |
0 (% 0) |
46 |
|
Samsung |
10 |
8 (% 80) |
2 (% 20) |
0 (% 0) |
72 |
|
Oracle |
7 |
3 (% 43) |
0 (% 0) |
4 (% 57) |
109 |
|
Outros* |
55 |
48 (% 87) |
3 (% 5) |
4 (% 7) |
44 |
|
TOTAL |
346 |
294 (% 84) |
34 (% 10) |
18 (% 5) |
61 |
Em média, é mencionado que leva em média 52 dias para corrigir uma vulnerabilidade em 2021, 54 dias em 2020, 67 dias em 2019 e 80 dias em 2018.
Na parte de as vulnerabilidades corrigidas mais rápidas são destacadas no kernel do Linux e menciona-se que é uma média de 15, 22 e 32 dias em 2021, 2020 e 2019.
Enquanto A Microsoft foi a mais lenta a lançar um patch, demorando em média 76, 87 e 85 dias para fazê-lo (de acordo com a primeira tabela com um tempo total, a Oracle demorou a responder: 109 dias para fazê-lo). Apple levou em média 64, 63 e 71 dias para consertar. Para os produtos do Google, o tempo médio para gerar patches ao longo dos anos foi de 53, 22 e 49 dias.
Há várias ressalvas com nossos dados, a maior delas é que estaremos analisando um pequeno número de amostras, portanto, as diferenças nos números podem ou não ser estatisticamente significativas.
Além disso, a direção da pesquisa do Project Zero é influenciada quase inteiramente pelas escolhas de pesquisadores individuais, portanto, mudanças em nossos objetivos de pesquisa podem alterar as métricas tanto quanto as mudanças nos comportamentos dos fornecedores. Na medida do possível, esta publicação foi projetada para ser uma apresentação objetiva dos dados, com análise subjetiva adicional incluída no final.
Dos fabricantes de navegadores, as correções são geradas mais rapidamente para o Chrome, mas o lançamento após o aparecimento da correção torna o Firefox mais rápido (no Chrome e Safari, a vulnerabilidade já corrigida no código permanece oculta para os usuários por um longo tempo, que é usada pelos invasores).
Por fim, menciona-se que, com o passar do tempo, os provedores corrigem quase todos os erros que recebem e, geralmente, o fazem em até 90 dias mais o período de carência de 14 dias quando necessário.
Nos últimos três anos, os fornecedores, na maioria das vezes, aceleraram o patch reduzindo efetivamente o tempo médio geral de correção para cerca de 52 dias.
Finalmente, se você estiver interessado em saber mais sobre isso você pode verificar os detalhes no link a seguir