ProHoster > blog > berita internet > Menilai kecepatan remediasi kerentanan yang ditemukan oleh Google Project Zero

Menilai kecepatan remediasi kerentanan yang ditemukan oleh Google Project Zero

Peneliti dari tim Google Project Zero telah merangkum data waktu respons produsen untuk menemukan kerentanan baru pada produk mereka. Sesuai dengan kebijakan Google, kerentanan yang diidentifikasi oleh peneliti dari Google Project Zero diberi waktu 90 hari untuk diselesaikan, ditambah 14 hari tambahan untuk pengungkapan publik mungkin tertunda jika diminta. Setelah 104 hari, kerentanan akan terungkap meskipun masalahnya masih belum terselesaikan.

Dari tahun 2019 hingga 2021, proyek ini mengidentifikasi 376 masalah, dimana 351 (93.4%) diantaranya telah diperbaiki. 11 (2.9%) kerentanan masih belum diperbaiki, dan 14 (3.7%) masalah lainnya ditandai sebagai tidak dapat diperbaiki (WontFix). Selama bertahun-tahun, telah terjadi penurunan jumlah kerentanan yang patchnya tidak diselesaikan dalam jadwal pengembangan patch yang dialokasikan - pada tahun 2021, 14% diminta tambahan waktu 14 hari untuk melakukan patching dan hanya satu kerentanan yang tidak ditambal sebelum diungkapkan.

ΠŸΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒ

Jumlah masalah

Diperbaiki dalam 90 hari

Diperbaiki dalam 14 hari tambahan

Tidak diperbaiki dalam waktu yang ditentukan

Rata-rata jumlah hari untuk diperbaiki

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

Microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Peramal

7

3 (43%)

0 (0%)

4 (57%)

109

Lainnya *

55

48 (87%)

3 (5%)

4 (7%)

44

JUMLAH

346

294 (84%)

34 (10%)

18 (5%)

61

Rata-rata, diperlukan waktu 2021 hari untuk membuat perbaikan kerentanan pada tahun 52, 2020 hari pada tahun 54, 2019 hari pada tahun 67, 2018 hari pada tahun 80. Kerentanan diperbaiki paling cepat di kernel Linux - rata-rata 15, 22, dan 32 hari pada tahun 2021 , 2020 dan 2019. Perusahaan yang paling lambat merilis perbaikan adalah Microsoft, yang membutuhkan waktu rata-rata 76, 87, dan 85 hari untuk memperbaiki (menurut tabel pertama dengan total waktu, Oracle adalah yang paling lambat merespons - 109 hari untuk memperbaiki). Apple membutuhkan rata-rata 64, 63, dan 71 hari untuk memperbaikinya. Pada produk Google, waktu rata-rata untuk membuat patch per tahun adalah 53, 22, dan 49 hari.

Penjaja

Bug di tahun 2019

(rata-rata hari untuk diperbaiki)

Bug di tahun 2020

(rata-rata hari untuk diperbaiki)

Bug di tahun 2021

(rata-rata hari untuk diperbaiki)

Apple

61 (71)

13 (63)

11 (64)

Microsoft

46 (85)

18 (87)

16 (76)

Google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

Lainnya *

54 (63)

35 (54)

14 (29)

JUMLAH

199 (67)

87 (54)

63 (52)

Dari produsen browser, perbaikan dibuat paling cepat untuk Chrome, namun rilis setelah munculnya perbaikan diselesaikan lebih cepat oleh Firefox (di Chrome dan Safari, kerentanan yang sudah diperbaiki dalam kode tetap tidak dikomunikasikan kepada pengguna selama a lama, yang dimanfaatkan oleh penyerang).

Browser Jumlah masalah Rata-rata waktu dalam hari sejak pemberitahuan masalah hingga publikasi perbaikan Rata-rata waktu sejak publikasi patch hingga rilis produk Rata-rata waktu sejak pemberitahuan kerentanan hingga rilis dengan perbaikan

Chrome

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

Firefox

8

16.6

21.1

37.8

Total

75

8.8

37.3

46.1



Sumber: opennet.ru

Tambah komentar