เมื่อไม่กี่วันก่อน นักวิจัยจากทีม Google Project Zero เปิดเผยผลลัพธ์ โดยการสรุปข้อมูล เกี่ยวกับเวลาตอบสนองของผู้ผลิตก่อน การค้นพบ ช่องโหว่ใหม่ในผลิตภัณฑ์ของตน
ตามนโยบายของ Google, 90 วันจะได้รับเพื่อลบช่องโหว่ ระบุโดยนักวิจัยของ Google Project Zero ก่อนเผยแพร่ และได้รับการเปิดเผยต่อสาธารณะเพิ่มเติมด้วย สามารถเปลี่ยนแปลงได้อีก 14 วันโดยขอแยกกัน
โดยพื้นฐานแล้ว หลังจาก 104 วัน ช่องโหว่จะถูกเปิดเผยแม้ว่าปัญหาจะยังไม่ได้รับการแก้ไข
ตั้งแต่ปี 2019 ถึงปี 2021 โครงการระบุปัญหา 376 ประการซึ่ง 351 (93,4%) พวกเขาได้รับการแก้ไข, ในขณะที่ช่องโหว่ 11 (2,9%) ยังไม่ได้รับการแก้ไขและปัญหาอีก 14 รายการ (3,7%) ถูกทำเครื่องหมายว่าไม่สามารถแก้ไขได้ (WontFix)
ในช่วงหลายปีที่ผ่านมา, มีจำนวนจุดอ่อนลดลง สำหรับแพตช์ใดที่ไม่พอดีกับเวลาที่กำหนดในการแพตช์: ในปี 2021 14% ขอเวลาเพิ่มอีก 14 วันในการแพตช์ และช่องโหว่เพียงจุดเดียวที่ไม่ได้รับการแพตช์ก่อนการเปิดเผย
สำหรับโพสต์นี้ เราดูข้อบกพร่องที่ได้รับการแก้ไขซึ่งรายงานระหว่างเดือนมกราคม 2019 ถึงธันวาคม 2021 (ปี 2019 เป็นปีที่เราทำการเปลี่ยนแปลงนโยบายการเปิดเผยข้อมูลของเรา และเราก็เริ่มติดตามตัววัดที่มีรายละเอียดมากขึ้นเกี่ยวกับจุดบกพร่องที่รายงานของเราด้วย)
ข้อมูลที่เราจะอ้างอิงนั้นเปิดเผยต่อสาธารณะใน Project Zero Bug Tracker และที่เก็บข้อมูลโปรเจ็กต์โอเพนซอร์สต่างๆ (ในกรณีของข้อมูลที่ใช้ด้านล่างเพื่อติดตามไทม์ไลน์ของบั๊กของเบราว์เซอร์โอเพนซอร์ส)
ผู้ขาย |
รวมบั๊ก |
แก้ไขโดยวัน 90 |
คงที่ระหว่าง |
เกินกำหนด & ระยะเวลาผ่อนผัน |
วันที่ต้องแก้ไขเฉลี่ย |
Apple |
84 |
73 (% 87) |
7 (% 8) |
4 (% 5) |
69 |
ไมโครซอฟท์ |
80 |
61 (% 76) |
15 (% 19) |
4 (% 5) |
83 |
|
56 |
53 (% 95) |
2 (% 4) |
1 (% 2) |
44 |
ลินุกซ์ |
25 |
24 (% 96) |
0 (% 0) |
1 (% 4) |
25 |
อะโดบี |
19 |
15 (% 79) |
4 (% 21) |
0 (% 0) |
65 |
Mozilla |
10 |
9 (% 90) |
1 (% 10) |
0 (% 0) |
46 |
ซัมซุง |
10 |
8 (% 80) |
2 (% 20) |
0 (% 0) |
72 |
คำพยากรณ์ |
7 |
3 (% 43) |
0 (% 0) |
4 (% 57) |
109 |
ผลิตภัณฑ์อื่นๆ* |
55 |
48 (% 87) |
3 (% 5) |
4 (% 7) |
44 |
รวม |
346 |
294 (% 84) |
34 (% 10) |
18 (% 5) |
61 |
โดยเฉลี่ยจะกล่าวไว้ว่า ใช้เวลาประมาณ 52 วันในการแก้ไขช่องโหว่ ในปี 2021 54 วันในปี 2020 67 วันในปี 2019 และ 80 วันในปี 2018
ในส่วนของ ช่องโหว่ที่มีการแพตช์เร็วที่สุดจะถูกเน้นให้อยู่ในเคอร์เนลของลินุกซ์ และมีการกล่าวไว้ว่ามีค่าเฉลี่ย 15, 22 และ 32 วันในปี 2021, 2020 และ 2019
ในขณะที่ Microsoft ปล่อยแพตช์ช้าที่สุดโดยใช้เวลาเฉลี่ย 76, 87 และ 85 วันในการทำเช่นนั้น (ตามตารางแรกที่มีเวลาทั้งหมด Oracle ตอบสนองช้ากว่า: 109 วันในการทำเช่นนั้น) Apple ใช้เวลาเฉลี่ย 64, 63 และ 71 วันในการแก้ไข. สำหรับผลิตภัณฑ์ Google เวลาเฉลี่ยในการสร้างแพตช์ในช่วงหลายปีที่ผ่านมาคือ 53, 22 และ 49 วัน
ข้อมูลของเรามีข้อแม้อยู่หลายประการ ซึ่งที่ใหญ่ที่สุดคือเราจะดูตัวอย่างจำนวนเล็กน้อย ดังนั้นความแตกต่างของตัวเลขอาจมีหรือไม่มีนัยสำคัญทางสถิติก็ได้
นอกจากนี้ ทิศทางของการวิจัย Project Zero ยังได้รับอิทธิพลเกือบทั้งหมดจากตัวเลือกของนักวิจัยแต่ละคน ดังนั้นการเปลี่ยนแปลงในวัตถุประสงค์การวิจัยของเราจึงสามารถเปลี่ยนแปลงตัวชี้วัดได้มากเท่ากับการเปลี่ยนแปลงในพฤติกรรมของผู้ขาย เท่าที่เป็นไปได้ เอกสารนี้ได้รับการออกแบบให้เป็นการนำเสนอข้อมูลตามวัตถุประสงค์ โดยมีการวิเคราะห์เชิงอัตวิสัยเพิ่มเติมในตอนท้าย
จากผู้ผลิตเบราว์เซอร์ การแก้ไขจะถูกสร้างขึ้นเร็วที่สุดสำหรับ Chromeแต่การเปิดตัวหลังจากการปรากฏตัวของโปรแกรมแก้ไขทำให้ Firefox เร็วขึ้น (ใน Chrome และ Safari ช่องโหว่ที่ได้รับการแก้ไขแล้วในโค้ดยังคงซ่อนอยู่สำหรับผู้ใช้เป็นเวลานานซึ่งถูกใช้โดยผู้โจมตี)
สุดท้ายนี้ มีการกล่าวถึงว่าเมื่อเวลาผ่านไป ผู้ให้บริการจะแก้ไขข้อผิดพลาดเกือบทั้งหมดที่ได้รับ และโดยทั่วไปจะแก้ไขข้อผิดพลาดดังกล่าวภายใน 90 วัน บวกกับระยะเวลาผ่อนผัน 14 วันเมื่อจำเป็น
ในช่วงสามปีที่ผ่านมา ผู้ขายส่วนใหญ่ได้เร่งความเร็วของแพทช์ ซึ่งช่วยลดเวลาเฉลี่ยโดยรวมในการแก้ไขลงเหลือประมาณ 52 วันได้อย่างมีประสิทธิภาพ
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม คุณสามารถตรวจสอบรายละเอียดในไฟล์ ลิงค์ต่อไปนี้