谷歌零项目团队的研究人员总结了制造商响应时间的数据,以发现其产品中的新漏洞。 根据 Google 的政策,Google 零号项目的研究人员发现的漏洞需要 90 天的时间来解决,此外,根据要求还可以延迟 14 天的公开披露时间。 104 天后,即使问题仍未解决,漏洞也会被披露。
2019年至2021年,该项目发现问题376个,其中351个(93.4%)得到纠正。 11 个 (2.9%) 漏洞仍未修复,另外 14 个 (3.7%) 问题被标记为无法修复 (WontFix)。 多年来,未在分配的补丁开发时间表内完成补丁的漏洞数量有所减少——2021 年,有 14% 的漏洞被要求额外 14 天进行修补,只有 XNUMX 个漏洞在披露前未得到修补。
生产商
问题数量
90天内修复
额外 14 天修复
未在规定时间内修复
平均修复天数
Apple
84
73(87%)
7(8%)
4(5%)
69
微软
80
61(76%)
15(19%)
4(5%)
83
谷歌
56
53(95%)
2(4%)
1(2%)
44
Linux
25
24(96%)
0(0%)
1(4%)
25
土砖
19
15(79%)
4(21%)
0(0%)
65
Mozilla的
10
9(90%)
1(10%)
0(0%)
46
Samsung
10
8(80%)
2(20%)
0(0%)
72
神谕
7
3(43%)
0(0%)
4(57%)
109
其他*
55
48(87%)
3(5%)
4(7%)
44
TOTAL
346
294(84%)
34(10%)
18(5%)
61
平均而言,2021 年创建漏洞修复需要 52 天,2020 年需要 54 天,2019 年需要 67 天,2018 年需要 80 天。Linux 内核中修复漏洞的速度最快 - 15 年平均需要 22 天、32 天和 2021 天、2020 年和 2019 年。 发布修复最慢的公司是 Microsoft,平均修复时间为 76 天、87 天和 85 天(根据第一个总时间表,Oracle 响应最慢 - 109 天修复)。 Apple 平均需要 64 天、63 天和 71 天来修复。 在Google产品中,每年生成补丁的平均时间分别为53天、22天和49天。
供应商
2019 年的错误
(平均修复天数)
2020 年的错误
(平均修复天数)
2021 年的错误
(平均修复天数)
Apple
61(71)
13(63)
11(64)
微软
46(85)
18(87)
16(76)
谷歌
26(49)
13(22)
17(53)
Linux
12(32)
8(22)
5(15)
其他*
54(63)
35(54)
14(29)
TOTAL
199(67)
87(54)
63(52)
在浏览器制造商中,Chrome 生成修复程序的速度最快,但 Firefox 修复程序出现后的发布完成得更快(在 Chrome 和 Safari 中,代码中已修复的漏洞在一段时间内仍未传达给用户)时间较长,被攻击者利用)。
铬系列
40
5.3
24.6
29.9
WebKit的
27
11.6
61.1
72.7
火狐
8
16.6
21.1
37.8
合计
75
8.8
37.3
46.1
来源: opennet.ru