ilang araw na nakalipas ang Inilabas ng mga mananaliksik mula sa Google Project Zero team ang mga resulta sa pamamagitan ng pagbubuod ng datos sa oras ng pagtugon ng mga tagagawa bago ang pagkatuklas ng mga bagong kahinaan sa kanilang mga produkto.
Alinsunod sa patakaran ng Google, 90 araw ang ibinibigay upang alisin ang mga kahinaan natukoy ng mga mananaliksik ng Google Project Zero, bago sila ilabas, at ibibigay din ang karagdagang pagsisiwalat sa publiko. maaaring baguhin para sa isa pang 14 na araw na may hiwalay na kahilingan.
Kaya karaniwang, pagkatapos ng 104 na araw, ang kahinaan ay ipinahayag kahit na ang isyu ay hindi pa natatakpan.
Mula 2019 hanggang 2021, natukoy ng proyekto ang 376 na problema, kung saan 351 (93,4%) Sila ay naitama, habang 11 (2,9%) na mga kahinaan ang nanatiling hindi natatakpan at isa pang 14 (3,7%) na isyu ang minarkahan na hindi naaayos (WontFix).
Sa paglipas ng mga taon, nagkaroon ng pagbaba sa bilang ng mga kahinaan kung saan ang mga patch ay hindi magkasya sa loob ng inilaang oras upang mag-patch: Noong 2021, 14% ang humiling ng karagdagang 14 na araw upang i-patch, at isang kahinaan lamang ang hindi na-patch bago ang pagbubunyag.
Para sa post na ito, tinitingnan namin ang mga naayos na bug na iniulat sa pagitan ng Enero 2019 at Disyembre 2021 (2019 ang taon na gumawa kami ng mga pagbabago sa aming mga patakaran sa paghahayag, at sinimulan din naming subaybayan ang mga mas detalyadong sukatan tungkol sa aming mga iniulat na bug).
Ang data na aming sasangguniin ay available sa publiko sa Project Zero Bug Tracker at sa iba't ibang open source na mga repositoryo ng proyekto (sa kaso ng data na ginamit sa ibaba upang subaybayan ang timeline ng mga open source na browser bug ).
|
Magtitinda |
Kabuuang mga bug |
Naayos sa ika-90 araw |
naayos habang |
Lumagpas sa deadline & panahon ng biyaya |
Mga average na araw para ayusin |
|
mansanas |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
Orakulo |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
mga iba* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
TOTAL |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Sa karaniwan, ito ay nabanggit na tumatagal ng average na 52 araw upang ayusin ang isang kahinaan sa 2021, 54 araw sa 2020, 67 araw sa 2019 at 80 araw sa 2018.
Sa bahagi ng ang pinakamabilis na na-patch na mga kahinaan ay naka-highlight na nasa Linux kernel at nabanggit na ito ay isang average ng 15, 22 at 32 araw sa 2021, 2020 at 2019.
habang Ang Microsoft ang pinakamabagal na naglabas ng patch, na tumatagal ng average na 76, 87 at 85 araw para magawa ito (ayon sa unang talahanayan na may kabuuang oras, mas mabagal ang Oracle na tumugon: 109 araw para gawin ito). Ang Apple ay tumagal ng average na 64, 63 at 71 araw upang ayusin ito. Para sa mga produkto ng Google, ang average na oras upang bumuo ng mga patch sa mga nakaraang taon ay 53, 22, at 49 na araw.
Mayroong ilang mga caveat sa aming data, ang pinakamalaki rito ay titingnan namin ang isang maliit na bilang ng mga sample, kaya ang mga pagkakaiba sa mga numero ay maaaring makabuluhan sa istatistika o hindi.
Higit pa rito, ang direksyon ng Project Zero na pananaliksik ay halos naiimpluwensyahan ng mga pagpipilian ng mga indibidwal na mananaliksik, kaya ang mga pagbabago sa aming mga layunin sa pananaliksik ay maaaring magbago ng mga sukatan gaya ng mga pagbabago sa mga gawi ng vendor. Hangga't maaari, ang publikasyong ito ay idinisenyo upang maging isang layunin na presentasyon ng data, na may karagdagang subjective na pagsusuri na kasama sa dulo.
Sa mga manufacturer ng browser, ang mga pag-aayos ay nabubuo ng pinakamabilis para sa Chrome, ngunit ang paglabas pagkatapos ng paglitaw ng pag-aayos ay ginagawang mas mabilis ang Firefox (sa Chrome at Safari, ang nakapirming kahinaan sa code ay nananatiling nakatago para sa mga user sa loob ng mahabang panahon, na ginagamit ng mga umaatake).
Sa wakas, nabanggit na sa paglipas ng panahon, itinatama ng mga provider ang halos lahat ng mga error na natatanggap nila at sa pangkalahatan, ginagawa nila ito sa loob ng 90 araw kasama ang palugit na 14 na araw kung kinakailangan.
Sa nakalipas na tatlong taon, ang mga vendor ay, sa karamihan, pinabilis ang kanilang patch na epektibong binabawasan ang pangkalahatang average na oras upang ayusin sa humigit-kumulang 52 araw.
Sa wakas, kung interesado kang malaman ang tungkol dito maaari mong suriin ang mga detalye sa sumusunod na link.