根據 Google 零項目報告,Linux 漏洞是最快修復的

幾天前 谷歌零項目團隊的研究人員公佈了結果 通過匯總數據 關於之前製造商的響應時間 的發現 他們產品中的新漏洞。

根據谷歌政策, 有 90 天的時間來消除漏洞 由 Google Project Zero 研究人員在發布之前確定,並且還允許進一步公開披露。 可以通過單獨的請求再更改 14 天。

所以基本上,在 104 天后,即使問題仍未修復,漏洞也會暴露出來。

從 2019 年到 2021 年, 該項目確定了 376 個問題, 其中 351 (93,4%) 他們被糾正了, 而 11 個 (2,9%) 漏洞仍未修補,另外 14 個 (3,7%) 問題被標記為無法修復 (WontFix)。

A lo lago de losaños, 漏洞數量有所減少 針對哪些補丁無法在規定的時間內進行修補:2021 年,14% 的公司要求額外的 14 天進行修補,只有一個漏洞在披露前未修補。

在這篇文章中,我們查看了 2019 年 2021 月至 2019 年 XNUMX 月期間報告的已修復錯誤(XNUMX 年是我們對披露政策進行更改的一年,我們還開始跟踪有關我們報告的錯誤的更詳細指標)。

我們將參考的數據可在 Project Zero Bug Tracker 和各種開源項目存儲庫上公開獲得(在以下用於跟踪開源瀏覽器錯誤時間線的數據的情況下)。

供應商

錯誤總數

到第 90 天修復

期間固定
寬限期

超過期限

& 寬限期

平均修復天數

蘋果

84

73(87%)

7(8%)

4(5%)

69

Microsoft微軟

80

61(76%)

15(19%)

4(5%)

83

谷歌

56

53(95%)

2(4%)

1(2%)

44

Linux的

25

24(96%)

0(0%)

1(4%)

25

土磚

19

15(79%)

4(21%)

0(0%)

65

Mozilla的

10

9(90%)

1(10%)

0(0%)

46

Samsung

10

8(80%)

2(20%)

0(0%)

72

神諭

7

3(43%)

0(0%)

4(57%)

109

其他*

55

48(87%)

3(5%)

4(7%)

44

總計

346

294(84%)

34(10%)

18(5%)

61

平均而言,有人提到 修復漏洞平均需要 52 天 2021年、54年2020天、67年2019天、80年2018天。

在一部分 最快修補的漏洞被突出顯示在 Linux 內核中 並提到15年、22年和32年平均為2021天、2020天和2019天。

微軟發布補丁最慢,平均需要 76、87 和 85 天(根據總時間的第一張表,Oracle 響應較慢:109 天)。 Apple 平均需要 64、63 和 71 天來修復它. 對於 Google 產品,這些年來生成補丁的平均時間分別為 53、22 和 49 天。

我們的數據有許多注意事項,其中最大的一個是我們將查看少量樣本,因此數量上的差異可能具有統計學意義,也可能不具有統計學意義。

此外,零項目研究的方向幾乎完全受個別研究人員選擇的影響,因此我們研究目標的變化可能會像供應商行為的變化一樣改變指標。 本出版物旨在盡可能客觀地呈現數據,並在末尾包含額外的主觀分析。

在瀏覽器製造商中,Chrome 的修復速度最快,但修復出現後的發布讓 Firefox 速度更快(在 Chrome 和 Safari 中,代碼中已經修復的漏洞長期對用戶隱藏,被攻擊者利用)。

最後,提到隨著時間的推移,供應商會糾正他們收到的幾乎所有錯誤,通常他們會在 90 天內糾正,並在必要時加上 14 天的寬限期。

在過去三年中,供應商在很大程度上加快了修補速度,有效地將總體平均修復時間縮短到了 52 天左右。

最後, 如果您有興趣了解更多信息 您可以在中查看詳細信息 以下鏈接。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。