кілька днів тому Дослідники з команди Google Project Zero оприлюднили результати шляхом узагальнення даних про час відповіді виробників раніше відкриття нові вразливості в своїх продуктах.
Відповідно до політики Google, дається 90 днів на видалення вразливостей визначені дослідниками Google Project Zero, перш ніж вони будуть опубліковані, а також надається подальше публічне розкриття. можна змінити ще на 14 днів за окремим запитом.
Таким чином, через 104 дні вразливість виявляється, навіть якщо проблема все ще не виправлена.
З 2019 по 2021 рр. проектом визначено 376 проблем, з них 351 (93,4%) Вони були виправлені, тоді як 11 (2,9%) уразливостей залишилися невиправленими, а ще 14 (3,7%) проблем були позначені як невиправні (WontFix).
З роками, відбулося зменшення кількості вразливостей для яких виправлення не вписуються у відведений час для виправлення: у 2021 році 14% запитали додаткові 14 днів для виправлення, і лише одну вразливість не було виправлено до розкриття.
У цій публікації ми розглянемо виправлені помилки, про які повідомлялося в період із січня 2019 року по грудень 2021 року (2019 рік — це рік, коли ми внесли зміни до нашої політики розкриття інформації, а також почали відстежувати більш детальні показники про наші повідомлення про помилки).
Дані, на які ми будемо посилатися, є загальнодоступними в Project Zero Bug Tracker та різних сховищах проектів із відкритим кодом (у випадку даних, які використовуються нижче для відстеження хронології помилок браузера з відкритим кодом).
|
Продавець |
Всього помилок |
Виправлено до 90 дня |
фіксується під час |
Перевищено термін & пільговий період |
Середня кількість днів для виправлення |
|
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
|
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
|
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
|
саман |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
|
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
|
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
|
оракул |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
|
інші* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
|
РАЗОМ |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
У середньому згадується, що для усунення вразливості потрібно в середньому 52 дні у 2021 році, 54 дні в 2020 році, 67 днів у 2019 році та 80 днів у 2018 році.
З боку найшвидше виправлені вразливості виділено в ядрі Linux і зазначено, що це в середньому 15, 22 і 32 дні в 2021, 2020 і 2019 роках.
в той час як Microsoft випустила патч найповільніше, на це в середньому знадобилося 76, 87 та 85 днів (згідно з першою таблицею із загальним часом, Oracle відповідав повільніше: 109 днів на це). На виправлення Apple знадобилося в середньому 64, 63 і 71 день. Для продуктів Google середній час створення виправлень за ці роки становив 53, 22 та 49 днів.
З нашими даними є ряд застережень, найбільше з яких полягає в тому, що ми будемо розглядати невелику кількість вибірок, тому відмінності в числах можуть бути статистично значущими, а можуть і не бути.
Крім того, напрямок дослідження Project Zero майже повністю залежить від вибору окремих дослідників, тому зміни в цілях нашого дослідження можуть змінити показники так само, як і зміни в поведінці постачальників. Наскільки це можливо, ця публікація призначена для об’єктивного представлення даних з додатковим суб’єктивним аналізом в кінці.
З виробників браузерів виправлення генеруються найшвидше для Chrome, але випуск після появи виправлення робить Firefox швидшим (у Chrome і Safari вже виправлена вразливість у коді довго залишається прихованою для користувачів, чим і користуються зловмисники).
Нарешті, зазначається, що з часом постачальники виправляють майже всі помилки, які вони отримують, і загалом вони роблять це протягом 90 днів плюс пільговий період у 14 днів, коли це необхідно.
Протягом останніх трьох років постачальники, здебільшого, прискорили свій патч, ефективно скоротивши загальний середній час на виправлення до приблизно 52 днів.
Нарешті, якщо вам цікаво дізнатись більше про це Ви можете перевірити деталі в наступне посилання.