Les chercheurs de l'équipe Google Project Zero ont résumé les données sur les temps de réponse des fabricants pour découvrir de nouvelles vulnérabilités dans leurs produits. Conformément à la politique de Google, les vulnérabilités identifiées par les chercheurs du Google Project Zero disposent d'un délai de 90 jours pour être résolues, plus 14 jours supplémentaires pour la divulgation publique peuvent être retardés sur demande. Après 104 jours, la vulnérabilité est divulguée même si le problème n'est toujours pas résolu.
De 2019 à 2021, le projet a identifié 376 problèmes, dont 351 (93.4%) ont été corrigés. 11 (2.9 %) vulnérabilités sont restées non corrigées et 14 autres problèmes (3.7 %) ont été marqués comme non corrigibles (WontFix). Au fil des années, il y a eu une diminution du nombre de vulnérabilités pour lesquelles les correctifs ne sont pas terminés dans le délai de développement des correctifs alloué : en 2021, 14 % ont eu besoin de 14 jours supplémentaires pour l'application des correctifs et une seule vulnérabilité n'a pas été corrigée avant sa divulgation.
Constructeur
Nombre de problèmes
Réparé en 90 jours
Réparé dans 14 jours supplémentaires
Non réparé dans les délais impartis
Nombre moyen de jours à réparer
Apple
84
73 (% 87)
7 (% 8)
4 (% 5)
69
Microsoft
80
61 (% 76)
15 (% 19)
4 (% 5)
83
56
53 (% 95)
2 (% 4)
1 (% 2)
44
Linux/Unix
25
24 (% 96)
0 (% 0)
1 (% 4)
25
Adobe
19
15 (% 79)
4 (% 21)
0 (% 0)
65
Mozilla
10
9 (% 90)
1 (% 10)
0 (% 0)
46
Samsung
10
8 (% 80)
2 (% 20)
0 (% 0)
72
Oracle
7
3 (% 43)
0 (% 0)
4 (% 57)
109
Autres*
55
48 (% 87)
3 (% 5)
4 (% 7)
44
TOTAL
346
294 (% 84)
34 (% 10)
18 (% 5)
61
En moyenne, il a fallu 2021 jours pour créer un correctif de vulnérabilité en 52, 2020 jours en 54, 2019 jours en 67, 2018 jours en 80. Les vulnérabilités ont été corrigées le plus rapidement dans le noyau Linux - en moyenne 15, 22 et 32 jours en 2021. , 2020 et 2019. L'entreprise la plus lente à publier un correctif a été Microsoft, qui a pris en moyenne 76, 87 et 85 jours pour le corriger (selon le premier tableau avec les délais totaux, Oracle a été le plus lent à répondre - 109 jours pour le corriger). Apple a mis en moyenne 64, 63 et 71 jours pour résoudre le problème. Dans les produits Google, le délai moyen de génération des correctifs par an était de 53, 22 et 49 jours.
Vendeur
Des bugs en 2019
(jours moyens pour réparer)
Des bugs en 2020
(jours moyens pour réparer)
Des bugs en 2021
(jours moyens pour réparer)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux/Unix
12 (32)
8 (22)
5 (15)
Autres*
54 (63)
35 (54)
14 (29)
TOTAL
199 (67)
87 (54)
63 (52)
Parmi les fabricants de navigateurs, les correctifs sont générés le plus rapidement pour Chrome, mais la publication après l'apparition du correctif est complétée plus rapidement par Firefox (dans Chrome et Safari, une vulnérabilité déjà corrigée dans le code reste non communiquée aux utilisateurs pendant un longtemps, ce qui est exploité par les attaquants).
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Total
75
8.8
37.3
46.1
Source: opennet.ru