несколько дней назад Исследователи из команды Google Project Zero опубликовали результаты путем обобщения данных на время отклика производителей до открытие новые уязвимости в своих продуктах.
В соответствии с политикой Google, на устранение уязвимости дается 90 дней определенные исследователями Google Project Zero, до того, как они будут выпущены, а также разрешено дальнейшее публичное раскрытие. можно изменить еще на 14 дней по отдельному запросу.
Таким образом, через 104 дня уязвимость обнаруживается, даже если проблема все еще не исправлена.
От 2019 до 2021, проект выявил 376 проблем, из них 351 (93,4%) Их исправили, при этом 11 (2,9%) уязвимостей остались неисправленными и еще 14 (3,7%) проблем были помечены как неустранимые (WontFix).
A lo largo de los años, количество уязвимостей уменьшилось для которых исправления не укладываются в отведенное время для исправления: в 2021 году 14% запросили дополнительные 14 дней для исправления, и только одна уязвимость не была исправлена до раскрытия информации.
В этом посте мы рассмотрим исправленные ошибки, о которых сообщалось в период с января 2019 года по декабрь 2021 года (2019 год — это год, когда мы внесли изменения в нашу политику раскрытия информации, и мы также начали отслеживать более подробные показатели о наших ошибках).
Данные, на которые мы будем ссылаться, общедоступны в Project Zero Bug Tracker и различных репозиториях проектов с открытым исходным кодом (в случае данных, используемых ниже для отслеживания временной шкалы ошибок браузера с открытым исходным кодом).
Производитель |
Всего ошибок |
Исправлено к 90 дню |
фиксируется во время |
Превышен крайний срок & льготный период |
Среднее количество дней на исправление |
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
саман |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
Другое* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
ИТОГО |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
В среднем отмечается, что на устранение уязвимости уходит в среднем 52 дня в 2021 году, 54 дня в 2020 году, 67 дней в 2019 году и 80 дней в 2018 году.
Со стороны самые быстро исправленные уязвимости выделены в ядре Linux и упоминается, что это в среднем 15, 22 и 32 дня в 2021, 2020 и 2019 годах.
В то время как Microsoft медленнее всех выпустила патч, на это ушло в среднем 76, 87 и 85 дней (согласно первой таблице с общим временем, Oracle реагировал медленнее: 109 дней). Apple потребовалось в среднем 64, 63 и 71 день, чтобы исправить это. Для продуктов Google среднее время создания исправлений за несколько лет составило 53, 22 и 49 дней.
С нашими данными есть ряд предостережений, самое большое из которых заключается в том, что мы будем рассматривать небольшое количество выборок, поэтому различия в числах могут быть или не быть статистически значимыми.
Кроме того, направление исследований Project Zero почти полностью зависит от выбора отдельных исследователей, поэтому изменения целей нашего исследования могут изменить показатели в той же степени, что и изменения в поведении поставщиков. Насколько это возможно, эта публикация предназначена для объективного представления данных с дополнительным субъективным анализом, включенным в конце.
Из производителей браузеров исправления генерируются быстрее всего для Chrome, но релиз после появления фикса делает Firefox быстрее (в Chrome и Safari уже исправленная уязвимость в коде долгое время остается скрытой для пользователей, чем и пользуются злоумышленники).
Наконец, упоминается, что со временем провайдеры исправляют почти все ошибки, которые они получают, и, как правило, они делают это в течение 90 дней плюс льготный период в 14 дней, когда это необходимо.
За последние три года поставщики по большей части ускорили установку исправлений, фактически сократив общее среднее время исправления примерно до 52 дней.
Наконец, если вам интересно узнать об этом больше вы можете проверить детали в по следующей ссылке.