几天前 谷歌零项目团队的研究人员公布了结果 通过汇总数据 关于之前制造商的响应时间 的发现 他们产品中的新漏洞。
根据谷歌政策, 有 90 天的时间来消除漏洞 由 Google Project Zero 研究人员在发布之前确定,并且还允许进一步公开披露。 可以通过单独的请求再更改 14 天。
所以基本上,在 104 天后,即使问题仍未修复,漏洞也会暴露出来。
从2019年到2021年, 该项目确定了 376 个问题, 其中 351 (93,4%) 他们被纠正了, 而 11 个 (2,9%) 漏洞仍未修补,另外 14 个 (3,7%) 问题被标记为无法修复 (WontFix)。
多年来, 漏洞数量有所减少 针对哪些补丁无法在规定的时间内进行修补:2021 年,14% 的公司要求额外的 14 天进行修补,只有一个漏洞在披露前未修补。
在这篇文章中,我们查看了 2019 年 2021 月至 2019 年 XNUMX 月期间报告的已修复错误(XNUMX 年是我们对披露政策进行更改的一年,我们还开始跟踪有关我们报告的错误的更详细指标)。
我们将参考的数据可在 Project Zero Bug Tracker 和各种开源项目存储库上公开获得(在以下用于跟踪开源浏览器错误时间线的数据的情况下)。
|
供应商 |
错误总数 |
到第 90 天修复 |
期间固定 |
超过期限 & 宽限期 |
平均修复天数 |
|
Apple |
84 |
73(87%) |
7(8%) |
4(5%) |
69 |
|
微软 |
80 |
61(76%) |
15(19%) |
4(5%) |
83 |
|
谷歌 |
56 |
53(95%) |
2(4%) |
1(2%) |
44 |
|
Linux |
25 |
24(96%) |
0(0%) |
1(4%) |
25 |
|
土砖 |
19 |
15(79%) |
4(21%) |
0(0%) |
65 |
|
Mozilla的 |
10 |
9(90%) |
1(10%) |
0(0%) |
46 |
|
Samsung |
10 |
8(80%) |
2(20%) |
0(0%) |
72 |
|
神谕 |
7 |
3(43%) |
0(0%) |
4(57%) |
109 |
|
其它* |
55 |
48(87%) |
3(5%) |
4(7%) |
44 |
|
TOTAL |
346 |
294(84%) |
34(10%) |
18(5%) |
61 |
平均而言,有人提到 修复漏洞平均需要 52 天 2021年、54年2020天、67年2019天、80年2018天。
在一部分 最快修补的漏洞被突出显示在 Linux 内核中 并提到15、22、32年平均为2021、2020、2019天。
而 微软发布补丁最慢,平均需要 76、87 和 85 天(根据总时间的第一张表,Oracle 响应较慢:109 天)。 Apple 平均需要 64、63 和 71 天来修复它. 对于 Google 产品,多年来生成补丁的平均时间分别为 53、22 和 49 天。
我们的数据有许多注意事项,其中最大的一个是我们将查看少量样本,因此数量上的差异可能具有统计学意义,也可能不具有统计学意义。
此外,零项目研究的方向几乎完全受个别研究人员选择的影响,因此我们研究目标的变化可能会像供应商行为的变化一样改变指标。 本出版物旨在尽可能客观地呈现数据,并在末尾包含额外的主观分析。
在浏览器制造商中,Chrome 的修复速度最快,但修复出现后的发布让 Firefox 速度更快(在 Chrome 和 Safari 中,代码中已经修复的漏洞长期对用户隐藏,被攻击者利用)。
最后,提到随着时间的推移,供应商会纠正他们收到的几乎所有错误,通常他们会在 90 天内纠正,并在必要时加上 14 天的宽限期。
在过去三年中,供应商在很大程度上加快了他们的补丁速度,有效地将总体平均修复时间缩短到了大约 52 天。
最后, 如果您有兴趣了解更多有关它的信息 您可以在中查看详细信息 以下链接。