ProHoster > blogg > internetnyheter > Bedöma hastigheten för att åtgärda sårbarheter som upptäckts av Google Project Zero

Bedöma hastigheten för att åtgärda sårbarheter som upptäckts av Google Project Zero

Forskare från Google Project Zero-teamet har sammanfattat data om tillverkarnas svarstider för att upptäcka nya sårbarheter i deras produkter. I enlighet med Googles policy får sårbarheter som identifierats av forskare från Google Project Zero 90 dagar på sig att lösa, plus ytterligare 14 dagar för offentliggörande kan försenas på begäran. Efter 104 dagar avslöjas sårbarheten även om problemet förblir olöst.

Från 2019 till 2021 identifierade projektet 376 problem, varav 351 (93.4%) korrigerades. 11 (2.9 %) sårbarheter förblev ofixade, och ytterligare 14 (3.7 %) problem markerades som oåtgärdbara (WontFix). Under åren har det skett en minskning av antalet sårbarheter för vilka patchar inte har slutförts inom den tilldelade patchutvecklingstidslinjen - 2021 begärdes 14 % ytterligare 14 dagar för patchning och endast en sårbarhet patchades inte innan avslöjandet.

Производитель

Antal problem

Fast på 90 dagar

Fast i ytterligare 14 dagar

Ej fastställt inom utsatt tid

Genomsnittligt antal dagar att fixa

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

Microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

Övriga*

55

48 (87%)

3 (5%)

4 (7%)

44

Totalt

346

294 (84%)

34 (10%)

18 (5%)

61

I genomsnitt tog det 2021 dagar att skapa en sårbarhetskorrigering 52, 2020 dagar 54, 2019 dagar 67, 2018 dagar 80. Sårbarheter åtgärdades snabbast i Linux-kärnan - i genomsnitt 15, 22 och 32 dagar 2021 , 2020 och 2019. Det långsammaste företaget att släppa en fix var Microsoft, som tog i genomsnitt 76, 87 och 85 dagar att fixa (enligt den första tabellen med totala tider var Oracle långsammast att svara - 109 dagar att fixa). Apple tog i genomsnitt 64, 63 och 71 dagar att fixa. I Googles produkter var den genomsnittliga tiden för att generera patchar per år 53, 22 och 49 dagar.

Leverantör

Buggar 2019

(genomsnittliga dagar att fixa)

Buggar 2020

(genomsnittliga dagar att fixa)

Buggar 2021

(genomsnittliga dagar att fixa)

Apple

61 (71)

13 (63)

11 (64)

Microsoft

46 (85)

18 (87)

16 (76)

Google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

Övriga*

54 (63)

35 (54)

14 (29)

Totalt

199 (67)

87 (54)

63 (52)

Av webbläsartillverkarna genereras korrigeringar snabbast för Chrome, men släppet efter att korrigeringen har dykt upp slutförs snabbare av Firefox (i Chrome och Safari förblir en sårbarhet som redan åtgärdats i koden inte kommunicerad till användarna under en lång tid, som utnyttjas av angripare).

Webbläsare Antal problem Genomsnittlig tid i dagar från meddelande om ett problem till publicering av en fix Genomsnittlig tid från publicering av en patch till produktsläpp Genomsnittlig tid från meddelande om en sårbarhet till release med en fix

krom

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

firefox

8

16.6

21.1

37.8

Totalt

75

8.8

37.3

46.1



Källa: opennet.ru

Lägg en kommentar