för några dagar sedan Forskare från Google Project Zero-teamet släppte resultaten genom att sammanfatta uppgifterna på tillverkarnas svarstid tidigare upptäckten av nya sårbarheter i sina produkter.
I enlighet med Googles policy, 90 dagar ges för att ta bort sårbarheterna identifieras av Google Project Zero-forskare, innan de släpps, och ytterligare offentliggörande beviljas också. kan ändras i ytterligare 14 dagar med separat begäran.
Så i princip, efter 104 dagar, avslöjas sårbarheten även om problemet fortfarande inte är åtgärdat.
De 2019 till 2021, projektet identifierade 376 problem, varav 351 (93,4 %) De korrigerades, medan 11 (2,9 %) sårbarheter förblev oparpade och ytterligare 14 (3,7 %) problem markerades som oåtgärdbara (WontFix).
Genom åren, har det skett en minskning av antalet sårbarheter för vilka patchar inte passar inom den tilldelade tiden att patcha: År 2021 begärde 14 % ytterligare 14 dagar för att patcha, och endast en sårbarhet patchades inte innan avslöjandet.
För det här inlägget tittar vi på fixade buggar som rapporterades mellan januari 2019 och december 2021 (2019 är året då vi gjorde ändringar i våra avslöjandepolicyer, och vi började också spåra mer detaljerad statistik om våra rapporterade buggar).
Datan vi kommer att referera till är allmänt tillgänglig på Project Zero Bug Tracker och olika projektförråd med öppen källkod (i fallet med data som används nedan för att spåra tidslinjen för webbläsarbuggar med öppen källkod).
|
Leverantör |
Totala buggar |
Fixat till dag 90 |
fixat under |
Deadline har överskridits & respitperiod |
Genomsnittliga dagar att fixa |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
Övrigt* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
Totalt |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
I genomsnitt nämns det det tar i genomsnitt 52 dagar att åtgärda en sårbarhet 2021, 54 dagar 2020, 67 dagar 2019 och 80 dagar 2018.
På den del av de snabbaste korrigerade sårbarheterna markeras för att finnas i Linux-kärnan och det nämns att det är ett genomsnitt på 15, 22 och 32 dagar 2021, 2020 och 2019.
Medan Microsoft var den långsammaste att släppa en patch, vilket tog i genomsnitt 76, 87 och 85 dagar att göra det (enligt den första tabellen med en total tid var Oracle långsammare att svara: 109 dagar att göra det). Apple tog i genomsnitt 64, 63 och 71 dagar att fixa det. För Googles produkter var den genomsnittliga tiden för att skapa patchar under åren 53, 22 och 49 dagar.
Det finns ett antal förbehåll med våra data, varav den största är att vi kommer att titta på ett litet antal prover, så skillnader i antal kan vara statistiskt signifikanta eller inte.
Dessutom påverkas riktningen för Project Zero-forskning nästan helt av enskilda forskares val, så förändringar i våra forskningsmål kan förändra mätvärden lika mycket som förändringar i leverantörsbeteenden. Så långt det är möjligt är denna publikation utformad för att vara en objektiv presentation av data, med ytterligare subjektiv analys inkluderad i slutet.
Av webbläsartillverkarna genereras korrigeringar snabbast för Chrome, men släppet efter uppkomsten av fixen gör Firefox snabbare (i Chrome och Safari förblir den redan fixerade sårbarheten i koden dold för användare under lång tid, som används av angripare).
Slutligen nämns att leverantörer över tid korrigerar nästan alla fel de får och i allmänhet gör de det inom 90 dagar plus respitperioden på 14 dagar när det behövs.
Under de senaste tre åren har leverantörer, för det mesta, snabbat upp sin patch, vilket effektivt minskat den totala genomsnittliga tiden att fixa till cirka 52 dagar.
Slutligen, om du är intresserad av att veta mer om det Du kan kontrollera detaljerna i följande länk.