în urmă cu câteva zile Cercetătorii din echipa Google Project Zero au publicat rezultatele prin rezumarea datelor asupra timpului de răspuns al producătorilor înainte descoperirea lui noi vulnerabilități în produsele lor.
În conformitate cu politica Google, se acordă 90 de zile pentru a elimina vulnerabilitățile identificate de cercetătorii Google Project Zero, înainte de a fi lansate, și dezvăluirea publică ulterioară este, de asemenea, acordată. poate fi schimbat pentru încă 14 zile cu o cerere separată.
Deci, practic, după 104 de zile, vulnerabilitatea este dezvăluită chiar dacă problema este încă nepattchizată.
Din 2019 până în 2021, proiectul a identificat 376 de probleme, din care 351 (93,4%) Au fost corectate, în timp ce 11 (2,9%) vulnerabilități au rămas nepatchizate și alte 14 (3,7%) probleme au fost marcate ca neremediabile (WontFix).
De-a lungul anilor, s-a înregistrat o scădere a numărului de vulnerabilități pentru care corecțiile nu se potrivesc în timpul alocat pentru corecție: în 2021, 14% au solicitat încă 14 zile pentru corecție și o singură vulnerabilitate nu a fost corectată înainte de dezvăluire.
Pentru această postare, analizăm erorile remediate care au fost raportate între ianuarie 2019 și decembrie 2021 (2019 este anul în care am făcut modificări politicilor noastre de divulgare și am început, de asemenea, să urmărim valori mai detaliate despre erorile noastre raportate).
Datele pe care le vom face referire sunt disponibile public pe Project Zero Bug Tracker și pe diferite depozite de proiecte open source (în cazul datelor utilizate mai jos pentru a urmări cronologia erorilor de browser open source).
|
Vânzător |
Total bug-uri |
Fixat până în ziua 90 |
fixat în timpul |
Termen depășit & Perioadă de grație |
Zile medii de remediat |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
chirpici |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Oracol |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Altele* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
TOTAL |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
În medie, se menționează că este nevoie în medie de 52 de zile pentru a remedia o vulnerabilitate în 2021, 54 de zile în 2020, 67 de zile în 2019 și 80 de zile în 2018.
Din partea cele mai rapide vulnerabilități corectate sunt evidențiate a fi în nucleul Linux si se mentioneaza ca este o medie de 15, 22 si 32 de zile in 2021, 2020 si 2019.
În timp ce Microsoft a fost cel mai lent pentru a lansa un patch, având o medie de 76, 87 și 85 de zile pentru a face acest lucru (conform primului tabel cu un timp total, Oracle a răspuns mai lent: 109 zile pentru a face acest lucru). Apple a luat în medie 64, 63 și 71 de zile pentru a o repara. Pentru produsele Google, timpul mediu de generare a corecțiilor de-a lungul anilor a fost de 53, 22 și 49 de zile.
Există o serie de avertismente cu datele noastre, dintre care cea mai mare este că vom analiza un număr mic de eșantioane, astfel încât diferențele de numere pot fi sau nu semnificative statistic.
În plus, direcția cercetării Project Zero este influențată aproape în întregime de alegerile cercetătorilor individuali, astfel încât schimbările în obiectivele noastre de cercetare ar putea schimba valorile la fel de mult ca și schimbările comportamentului furnizorilor. Pe cât posibil, această publicație este concepută pentru a fi o prezentare obiectivă a datelor, cu analiză subiectivă suplimentară inclusă la sfârșit.
Dintre producătorii de browsere, corecțiile sunt generate cel mai rapid pentru Chrome, dar lansarea după apariția remedierii face Firefox mai rapid (în Chrome și Safari, vulnerabilitatea deja fixată din cod rămâne mult timp ascunsă pentru utilizatori, care este folosită de atacatori).
În sfârșit, se menționează că în timp, furnizorii corectează aproape toate erorile pe care le primesc și, în general, o fac în termen de 90 de zile plus perioada de grație de 14 zile atunci când este necesar.
În ultimii trei ani, furnizorii și-au accelerat, în cea mai mare parte, corecțiile, reducând efectiv timpul mediu general de reparare la aproximativ 52 de zile.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta puteți verifica detaliile în următorul link.