幾天前 谷歌零項目團隊的研究人員公佈了結果 通過匯總數據 關於之前製造商的響應時間 的發現 他們產品中的新漏洞。
根據谷歌政策, 有 90 天的時間來消除漏洞 由 Google Project Zero 研究人員在發布之前確定,並且還允許進一步公開披露。 可以通過單獨的請求再更改 14 天。
所以基本上,在 104 天后,即使問題仍未修復,漏洞也會暴露出來。
從 2019 年到 2021 年, 該項目確定了 376 個問題, 其中 351 (93,4%) 他們被糾正了, 而 11 個 (2,9%) 漏洞仍未修補,另外 14 個 (3,7%) 問題被標記為無法修復 (WontFix)。
A lo lago de losaños, 漏洞數量有所減少 針對哪些補丁無法在規定的時間內進行修補:2021 年,14% 的公司要求額外的 14 天進行修補,只有一個漏洞在披露前未修補。
在這篇文章中,我們查看了 2019 年 2021 月至 2019 年 XNUMX 月期間報告的已修復錯誤(XNUMX 年是我們對披露政策進行更改的一年,我們還開始跟踪有關我們報告的錯誤的更詳細指標)。
我們將參考的數據可在 Project Zero Bug Tracker 和各種開源項目存儲庫上公開獲得(在以下用於跟踪開源瀏覽器錯誤時間線的數據的情況下)。
|
供應商 |
錯誤總數 |
到第 90 天修復 |
期間固定 |
超過期限 & 寬限期 |
平均修復天數 |
|
蘋果 |
84 |
73(87%) |
7(8%) |
4(5%) |
69 |
|
Microsoft微軟 |
80 |
61(76%) |
15(19%) |
4(5%) |
83 |
|
谷歌 |
56 |
53(95%) |
2(4%) |
1(2%) |
44 |
|
Linux |
25 |
24(96%) |
0(0%) |
1(4%) |
25 |
|
土磚 |
19 |
15(79%) |
4(21%) |
0(0%) |
65 |
|
Mozilla的 |
10 |
9(90%) |
1(10%) |
0(0%) |
46 |
|
Samsung |
10 |
8(80%) |
2(20%) |
0(0%) |
72 |
|
神諭 |
7 |
3(43%) |
0(0%) |
4(57%) |
109 |
|
其他 * |
55 |
48(87%) |
3(5%) |
4(7%) |
44 |
|
總計 |
346 |
294(84%) |
34(10%) |
18(5%) |
61 |
平均而言,有人提到 修復漏洞平均需要 52 天 2021年、54年2020天、67年2019天、80年2018天。
在一部分 最快修補的漏洞被突出顯示在 Linux 內核中 並提到15年、22年和32年平均為2021天、2020天和2019天。
而 微軟發布補丁最慢,平均需要 76、87 和 85 天(根據總時間的第一張表,Oracle 響應較慢:109 天)。 Apple 平均需要 64、63 和 71 天來修復它. 對於 Google 產品,這些年來生成補丁的平均時間分別為 53、22 和 49 天。
我們的數據有許多注意事項,其中最大的一個是我們將查看少量樣本,因此數量上的差異可能具有統計學意義,也可能不具有統計學意義。
此外,零項目研究的方向幾乎完全受個別研究人員選擇的影響,因此我們研究目標的變化可能會像供應商行為的變化一樣改變指標。 本出版物旨在盡可能客觀地呈現數據,並在末尾包含額外的主觀分析。
在瀏覽器製造商中,Chrome 的修復速度最快,但修復出現後的發布讓 Firefox 速度更快(在 Chrome 和 Safari 中,代碼中已經修復的漏洞長期對用戶隱藏,被攻擊者利用)。
最後,提到隨著時間的推移,供應商會糾正他們收到的幾乎所有錯誤,通常他們會在 90 天內糾正,並在必要時加上 14 天的寬限期。
在過去三年中,供應商在很大程度上加快了修補速度,有效地將總體平均修復時間縮短到了 52 天左右。
最後, 如果您有興趣了解更多信息 您可以在中查看詳細信息 以下鏈接。