Badacze z zespołu Google Project Zero podsumowali dane dotyczące czasu reakcji producentów w celu wykrycia nowych luk w zabezpieczeniach swoich produktów. Zgodnie z polityką Google luki zidentyfikowane przez badaczy z Google Project Zero mają 90 dni na usunięcie, a dodatkowe 14 dni na publiczne ujawnienie może zostać opóźnione na żądanie. Po 104 dniach luka zostaje ujawniona, nawet jeśli problem pozostaje nierozwiązany.
W latach 2019-2021 w ramach projektu zidentyfikowano 376 problemów, z czego 351 (93.4%) zostało naprawionych. 11 (2.9%) luk pozostało nienaprawionych, a kolejnych 14 (3.7%) luk oznaczono jako niemożliwych do naprawienia (WontFix). Na przestrzeni lat zaobserwowano spadek liczby luk, dla których łatanie nie dotrzymuje wyznaczonego harmonogramu opracowania łat – w 2021 r. 14% poproszono o dodatkowe 14 dni na załatanie, a tylko jedna luka nie została załatana przed ujawnieniem.
Производитель
Liczba problemów
Naprawiono w ciągu 90 dni
Naprawiono w ciągu dodatkowych 14 dni
Nie naprawione w wyznaczonym terminie
Średnia liczba dni do naprawy
Apple
84
73 (% 87)
7 (% 8)
4 (% 5)
69
Microsoft
80
61 (% 76)
15 (% 19)
4 (% 5)
83
56
53 (% 95)
2 (% 4)
1 (% 2)
44
Linux
25
24 (% 96)
0 (% 0)
1 (% 4)
25
Adobe
19
15 (% 79)
4 (% 21)
0 (% 0)
65
Mozilla
10
9 (% 90)
1 (% 10)
0 (% 0)
46
Samsung
10
8 (% 80)
2 (% 20)
0 (% 0)
72
wyrocznia
7
3 (% 43)
0 (% 0)
4 (% 57)
109
Inni*
55
48 (% 87)
3 (% 5)
4 (% 7)
44
RAZEM
346
294 (% 84)
34 (% 10)
18 (% 5)
61
Utworzenie poprawki luki w 2021 r. trwało średnio 52 dni, w 2020 r. 54 dni, w 2019 r. 67 dni, w 2018 r. 80 dni. Luki zostały naprawione najszybciej w jądrze Linuksa – średnio 15, 22 i 32 dni w 2021 r. , 2020 i 2019. Najwolniejszą firmą, która opublikowała poprawkę, był Microsoft, którego naprawa zajmowała średnio 76, 87 i 85 dni (zgodnie z pierwszą tabelą zawierającą łączny czas reakcji, najwolniej odpowiadała firma Oracle – naprawa trwała 109 dni). Naprawa Apple trwała średnio 64, 63 i 71 dni. W produktach Google średni czas generowania poprawek w ciągu roku wynosił 53, 22 i 49 dni.
Sprzedawca
Błędy w 2019 roku
(średnia liczba dni do naprawy)
Błędy w 2020 roku
(średnia liczba dni do naprawy)
Błędy w 2021 roku
(średnia liczba dni do naprawy)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Inni*
54 (63)
35 (54)
14 (29)
RAZEM
199 (67)
87 (54)
63 (52)
Spośród producentów przeglądarek poprawki są generowane najszybciej dla przeglądarki Chrome, ale wydanie po pojawieniu się poprawki jest szybciej realizowane przez przeglądarkę Firefox (w przeglądarkach Chrome i Safari luka już naprawiona w kodzie nie jest przekazywana użytkownikom przez pewien czas) długi czas, który jest wykorzystywany przez atakujących).
Chrom
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Kwota produktów:
75
8.8
37.3
46.1
Źródło: opennet.ru