ประเมินความเร็วของการแก้ไขช่องโหว่ที่ค้นพบโดย Google Project Zero

นักวิจัยจากทีม Google Project Zero ได้รวบรวมข้อมูลเกี่ยวกับเวลาตอบสนองของผู้ขายต่อช่องโหว่ใหม่ในผลิตภัณฑ์ของตน ตามนโยบายของ Google ช่องโหว่ที่นักวิจัย Google Project Zero ตรวจพบจะได้รับการแก้ไขภายใน 90 วัน โดยการเปิดเผยข้อมูลต่อสาธารณะอาจขยายเวลาออกไปอีก 14 วันหากมีการร้องขอ หลังจาก 104 วัน ข้อมูลเกี่ยวกับช่องโหว่จะถูกเปิดเผย แม้ว่าปัญหาจะยังไม่ได้รับการแก้ไขก็ตาม

ตั้งแต่ปี 2019 ถึง 2021 โครงการได้ระบุช่องโหว่ 376 รายการ โดย 351 รายการ (93.4%) ได้รับการแก้ไขแล้ว ช่องโหว่ 11 รายการ (2.9%) ยังไม่ได้รับการแก้ไข และอีก 14 รายการ (3.7%) ถูกระบุว่าไม่ต้องแก้ไข (WontFix) ตลอดหลายปีที่ผ่านมา จำนวนช่องโหว่ที่การแก้ไขไม่เป็นไปตามกำหนดเวลาที่กำหนดไว้สำหรับการแก้ไขแพตช์ได้ลดลง โดยในปี 2021 มีช่องโหว่ 14% ที่ต้องใช้เวลาแก้ไขเพิ่มเติม 14 วัน และมีเพียงช่องโหว่เดียวเท่านั้นที่ไม่ได้รับการแก้ไขก่อนที่จะมีการเปิดเผยข้อมูล

ผู้ผลิต

จำนวนปัญหา

แก้ไขภายใน 90 วัน

แก้ไขเพิ่มเติมอีก 14 วัน

ไม่ได้รับการแก้ไขภายในเวลาที่กำหนด

จำนวนวันเฉลี่ยในการแก้ไข

แอปเปิ้ล

84

73 (% 87)

7 (% 8)

4 (% 5)

69

ไมโครซอฟท์

80

61 (% 76)

15 (% 19)

4 (% 5)

83

Google

56

53 (% 95)

2 (% 4)

1 (% 2)

44

Linux

25

24 (% 96)

0 (% 0)

1 (% 4)

25

อะโดบี

19

15 (% 79)

4 (% 21)

0 (% 0)

65

Mozilla

10

9 (% 90)

1 (% 10)

0 (% 0)

46

ซัมซุง

10

8 (% 80)

2 (% 20)

0 (% 0)

72

คำพยากรณ์

7

3 (% 43)

0 (% 0)

4 (% 57)

109

อื่น ๆ *

55

48 (% 87)

3 (% 5)

4 (% 7)

44

รวม

346

294 (% 84)

34 (% 10)

18 (% 5)

61

โดยเฉลี่ยแล้ว การแก้ไขช่องโหว่ใช้เวลา 52 วันในปี 2021, 54 วันในปี 2020, 67 วันในปี 2019 และ 80 วันในปี 2018 ช่องโหว่ได้รับการแก้ไขอย่างรวดเร็วที่สุดในระดับเคอร์เนล Linux — โดยเฉลี่ย 15, 22 และ 32 วัน ในปี 2021, 2020 และ 2019 ตามลำดับ ไมโครซอฟต์เป็นบริษัทที่ปล่อยแพทช์ช้าที่สุด โดยใช้เวลาเฉลี่ย 76, 87 และ 85 วัน (ตามตารางเวลารวมแรก ออราเคิลเป็นบริษัทที่ช้าที่สุด โดยเฉลี่ย 109 วันต่อแพทช์) แพทช์ของแอปเปิลใช้เวลาเฉลี่ย 64, 63 และ 71 วัน ส่วนผลิตภัณฑ์ของกูเกิล เวลาเฉลี่ยในการออกแพทช์ต่อปีคือ 53, 22 และ 49 วัน

ผู้ขาย

ข้อบกพร่องในปี 2019

(จำนวนวันเฉลี่ยที่ต้องแก้ไข)

ข้อบกพร่องในปี 2020

(จำนวนวันเฉลี่ยที่ต้องแก้ไข)

ข้อบกพร่องในปี 2021

(จำนวนวันเฉลี่ยที่ต้องแก้ไข)

แอปเปิ้ล

61 (71)

13 (63)

11 (64)

ไมโครซอฟท์

46 (85)

18 (87)

16 (76)

Google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

อื่น ๆ *

54 (63)

35 (54)

14 (29)

รวม

199 (67)

87 (54)

63 (52)

ในบรรดาผู้ผลิตเบราว์เซอร์ทั้งหมด Chrome ถือเป็นผู้ที่พัฒนาแพตช์ได้เร็วที่สุด แต่ Firefox เป็นผู้ผลิตที่ปล่อยแพตช์ได้เร็วกว่า (ใน Chrome และ Safari ช่องโหว่ที่ได้รับการแก้ไขในโค้ดแล้วจะไม่เปิดเผยให้ผู้ใช้ทราบอีกระยะหนึ่ง ซึ่งถูกผู้โจมตีใช้ประโยชน์)

จำนวนปัญหาของเบราว์เซอร์ เวลาเฉลี่ยเป็นวันจากการแจ้งเตือนปัญหาไปจนถึงการเผยแพร่แพตช์ เวลาเฉลี่ยจากการเผยแพร่แพตช์ไปจนถึงการเปิดตัวผลิตภัณฑ์ เวลาเฉลี่ยจากการแจ้งเตือนช่องโหว่ไปจนถึงการเปิดตัวพร้อมการแก้ไข

Chrome

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

Firefox

8

16.6

21.1

37.8

รวม

75

8.8

37.3

46.1

ที่มา: opennet.ru