pred nekaj dnevi Raziskovalci iz ekipe Google Project Zero so objavili rezultate s povzetkom podatkov o odzivnem času proizvajalcev pred tem odkritje nove ranljivosti v svojih izdelkih.
V skladu z Googlovo politiko, je na voljo 90 dni za odstranitev ranljivosti identificirali raziskovalci Google Project Zero, preden so izdani, dovoljeno pa je tudi nadaljnje javno razkritje. se lahko spremeni še za 14 dni z ločeno zahtevo.
V bistvu se po 104 dneh ranljivost razkrije, tudi če težava še ni odpravljena.
Od leta 2019 do 2021 je dr. projekt je ugotovil 376 težav, od tega 351 (93,4 %) Popravljeni so bili, medtem ko je 11 (2,9 %) ranljivosti ostalo nepopravljenih, še 14 (3,7 %) težav pa je bilo označenih kot nepopravljive (WontFix).
Skozi leta, se je zmanjšalo število ranljivosti za katere popravke ne ustrezajo v dodeljenem času za popravek: leta 2021 jih je 14 % zahtevalo dodatnih 14 dni za popravek in le ena ranljivost ni bila popravljena pred razkritjem.
V tej objavi si ogledamo popravljene napake, o katerih so poročali med januarjem 2019 in decembrom 2021 (2019 je leto, ko smo spremenili naše pravilnike o razkritju, začeli pa smo tudi spremljati podrobnejše meritve o naših prijavljenih napakah).
Podatki, na katere se bomo sklicevali, so javno dostopni v Project Zero Bug Tracker in različnih odprtokodnih repozitorijih projektov (v primeru podatkov, uporabljenih spodaj za sledenje časovnici hrošč odprtokodnega brskalnika).
|
Prodajalec |
Totalne napake |
Popravljeno do 90. dne |
fiksiran med |
Prekoračen rok & obdobje odloga |
Povpr. dni za popravo |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
drugi* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
SKUPAJ |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
V povprečju se omenja, da odpravljanje ranljivosti traja v povprečju 52 dni leta 2021, 54 dni v 2020, 67 dni v letu 2019 in 80 dni v letu 2018.
S strani najhitreje popravljene ranljivosti so poudarjene v jedru Linuxa in je omenjeno, da je povprečno 15, 22 in 32 dni v letih 2021, 2020 in 2019.
Medtem ko je Microsoft je bil najpočasnejši pri izdaji popravka, pri čemer je za to potreboval povprečno 76, 87 in 85 dni (glede na prvo tabelo s skupnim časom se je Oracle odzval počasneje: 109 dni za to). Apple je v povprečju potreboval 64, 63 in 71 dni, da ga popravi. Za Googlove izdelke je bil povprečni čas za ustvarjanje popravkov v preteklih letih 53, 22 in 49 dni.
Pri naših podatkih je številna opozorila, med katerimi je največja, da si bomo ogledali majhno število vzorcev, zato so razlike v številkah lahko statistično pomembne ali pa tudi ne.
Poleg tega na usmeritev raziskave projekta nič skoraj v celoti vplivajo izbire posameznih raziskovalcev, tako da bi spremembe v naših raziskovalnih ciljih lahko spremenile meritve tako kot spremembe v vedenju prodajalcev. Kolikor je mogoče, je ta publikacija zasnovana tako, da je objektivna predstavitev podatkov, na koncu pa je vključena dodatna subjektivna analiza.
Od proizvajalcev brskalnikov so popravki najhitreje ustvarjeni za Chrome, vendar izdaja po pojavu popravka naredi Firefox hitrejši (v Chromu in Safariju že odpravljena ranljivost v kodi ostane za uporabnike dolgo skrita, kar uporabljajo napadalci).
Na koncu je omenjeno, da ponudniki sčasoma popravijo skoraj vse napake, ki jih prejmejo, in na splošno to storijo v 90 dneh plus 14-dnevni odlog po potrebi.
V zadnjih treh letih so prodajalci večinoma pospešili svoj popravek in s tem skrajšali skupni povprečni čas za popravilo na približno 52 dni.
Končno, če vas zanima več o tem podrobnosti lahko preverite v naslednja povezava.