Badacze z zespołu Google Project Zero podsumowali dane dotyczące czasu reakcji producentów w celu wykrycia nowych luk w zabezpieczeniach swoich produktów. Zgodnie z polityką Google luki zidentyfikowane przez badaczy z Google Project Zero mają 90 dni na usunięcie, a dodatkowe 14 dni na publiczne ujawnienie może zostać opóźnione na żądanie. Po 104 dniach luka zostaje ujawniona, nawet jeśli problem pozostaje nierozwiązany.
W latach 2019-2021 w ramach projektu zidentyfikowano 376 problemów, z czego 351 (93.4%) zostało naprawionych. 11 (2.9%) luk pozostało nienaprawionych, a kolejnych 14 (3.7%) luk oznaczono jako niemożliwych do naprawienia (WontFix). Na przestrzeni lat zaobserwowano spadek liczby luk, dla których łatanie nie dotrzymuje wyznaczonego harmonogramu opracowania łat – w 2021 r. 14% poproszono o dodatkowe 14 dni na załatanie, a tylko jedna luka nie została załatana przed ujawnieniem.
Производитель
Liczba problemów
Naprawiono w ciągu 90 dni
Naprawiono w ciągu dodatkowych 14 dni
Nie naprawione w wyznaczonym terminie
Średnia liczba dni do naprawy
Apple
84
73 (% 87)
7 (% 8)
4 (% 5)
69
Microsoft
80
61 (% 76)
15 (% 19)
4 (% 5)
83
56
53 (% 95)
2 (% 4)
1 (% 2)
44
Linux
25
24 (% 96)
0 (% 0)
1 (% 4)
25
Adobe
19
15 (% 79)
4 (% 21)
0 (% 0)
65
Mozilla
10
9 (% 90)
1 (% 10)
0 (% 0)
46
Samsung
10
8 (% 80)
2 (% 20)
0 (% 0)
72
wyrocznia
7
3 (% 43)
0 (% 0)
4 (% 57)
109
Inni*
55
48 (% 87)
3 (% 5)
4 (% 7)
44
RAZEM
346
294 (% 84)
34 (% 10)
18 (% 5)
61
Średnio w 2021 r. na załatanie luki w zabezpieczeniach trzeba było czekać 52 dni, w 2020 r. 54 dni, w 2019 r. 67 dni, a w 2018 r. 80 dni. Luki w zabezpieczeniach najszybciej łatano w jądrze. Linux — średnio 15, 22 i 32 dni w latach 2021, 2020 i 2019. Microsoft był najwolniejszy w publikowaniu poprawek, ze średnim czasem 76, 87 i 85 dni (według pierwszej tabeli łącznego czasu, Oracle był najwolniejszy, ze średnią 109 dni na poprawkę). Apple potrzebowało średnio 64, 63 i 71 dni na generowanie poprawek. W przypadku produktów Google średni czas generowania poprawek w ciągu roku wyniósł 53, 22 i 49 dni.
Sprzedawca
Błędy w 2019 roku
(średnia liczba dni do naprawy)
Błędy w 2020 roku
(średnia liczba dni do naprawy)
Błędy w 2021 roku
(średnia liczba dni do naprawy)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Inni*
54 (63)
35 (54)
14 (29)
RAZEM
199 (67)
87 (54)
63 (52)
Spośród producentów przeglądarek poprawki są generowane najszybciej dla przeglądarki Chrome, ale wydanie po pojawieniu się poprawki jest szybciej realizowane przez przeglądarkę Firefox (w przeglądarkach Chrome i Safari luka już naprawiona w kodzie nie jest przekazywana użytkownikom przez pewien czas) długi czas, który jest wykorzystywany przez atakujących).
Chrom
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Cena produktu z VAT:
75
8.8
37.3
46.1
Źródło: opennet.ru
